近日，在GitHub 上有用戶(hù)上傳了名為Cobalt Strike的文件夾，據(jù)稱(chēng)是滲透測(cè)試工具Cobalt Strike 4.0的源代碼。

Cobalt Strike是一款滲透測(cè)試神器，常被業(yè)界人稱(chēng)為CS神器。Cobalt Strike已經(jīng)不再使用MSF而是作為單獨(dú)的平臺(tái)使用，它分為客戶(hù)端與服務(wù)端，服務(wù)端是一個(gè)，客戶(hù)端可以有多個(gè)，可被團(tuán)隊(duì)進(jìn)行分布式協(xié)團(tuán)操作。Cobalt Strike集成了端口轉(zhuǎn)發(fā)、掃描多模式端口Listener、Windows exe程序生成、Windows dll動(dòng)態(tài)鏈接庫(kù)生成、java程序生成、office宏代碼生成，包括站點(diǎn)克隆獲取瀏覽器的相關(guān)信息等。

CobaltStrike GitHub庫(kù)

根據(jù)src/main/resources/about.html 文件判斷，Cobalt Strike 4.0 源代碼發(fā)布的時(shí)間是2019年12月5日。

表明Cobalt Strike 版本的源代碼

從泄露的源代碼中可以看到，進(jìn)行 Cobalt Strike 許可證檢查的代碼被注釋掉了，也就是說(shuō)任何人都可以用它來(lái)破解程序。

Cobalt Strike 許可證檢查代碼被注釋

Intel 研究人員Vitali Kremez 通過(guò)分析源代碼認(rèn)為，Java 代碼是手動(dòng)反編譯的。然后解決了依賴(lài)庫(kù)問(wèn)題并移除了許可證檢查，因此可以編譯。

從公開(kāi)到GitHub 開(kāi)始，該庫(kù)已經(jīng)被fork了超過(guò)400次。即時(shí)不是原始的源代碼，對(duì)安全研究人員來(lái)說(shuō)也是非常值得關(guān)注的。

Cobalt Strike 4.0 的代碼泄露(可能是重新編譯的源代碼)對(duì)安全研究人員來(lái)說(shuō)也是一個(gè)巨大的災(zāi)難，因?yàn)榉缸锓肿涌梢院苋菀椎馗鶕?jù)該工具來(lái)修改自己的代碼，以繞過(guò)安全研究人員的檢測(cè)。

BleepingComputer 聯(lián)系了Cobalt Strike和其母公司Help Systems 來(lái)確認(rèn)源代碼泄露的真實(shí)性，但目前還沒(méi)有收到反饋。

更多參見(jiàn)github頁(yè)面：https://github.com/Freakboy/CobaltStrike

本文翻譯自：

https://www.bleepingcomputer.com/news/security/alleged-source-code-of-cobalt-strike-toolkit-shared-online/