13.1 日志 

Cobalt Strike将其所有活动记录在团队服务器上。这些日志位于你从中启动团队服务器的目录的 logs/ 文件夹中。所有 Beacon 活动均在此处记录并且带有日期和时间戳。 
 

13.2 报告 

Cobalt Strike 有几个报告选项,可帮助你理解数据并向客户传达整个行动。你可以配置大多数报告中显 示的标题、描述和主机。



转到 Reporting 菜单,然后选择一种报告来生成。Cobalt Strike 会将你的报告导出为 MS Word 或 PDF 文档。 

 

活动报告 

活动报告提供了红队活动的时间表。此文档中记录了你的每个后渗透活动。

主机报告 

主机报告汇总了 Cobalt Strike 逐主机收集的信息。服务、凭据和会话也在此文档中列出。
 

侵害指标(IoC)报告 

该报告类似于威胁情报报告中的「侵害指标」(IoC)附录。内容包括对你的 C2 拓展文件的分析、使用 的域名以及你上传的文件的 MD5 哈希。

会话报告 

该报告逐会话记录了指标和活动。该报告包括:每个会话用于回连到你的通信路径,会话期间落地到磁 盘的文件的 MD5 哈希值,杂项指标(例如服务名)以及后渗透活动的时间线。该报告是帮助网络防御 团队了解红队的所有活动并将他们的监控设备获取的信息与你的红队活动相匹配的出色工具。

社会工程学报告 

社会工程报告记录了每一轮网络钓鱼行动的电子邮件、谁点击了、以及从每个点击的用户那里收集的信 息。该报告还显示了 Cobalt Strike 的 System Profiler 发现的应用程序。 
 

TTPs(战术、技巧和程序)报告 

此报告将你的 Cobalt Strike 行动映射到 MITRE 的 ATT&CK 矩阵中的战术。ATT&CK 矩阵使用检测和 缓解策略描述了每种战术。 你可以在以下网址了解有关 MITRE ATT&CK 的更多信息:
https://attack.mitre.org/ 

 

13.3 自定义报告中的 Logo 

Cobalt Strike 报告在其首页顶部显示 Cobalt Strike Logo。你可以将其替换为你自己选择的图像。通过 Cobalt Strike → Preferences → Reporting 进行此设置。

你的自定义图片应为 1192x257px,设置为 300dpi 。必须设置 300dpi ,这样报告引擎才能以正确的 大小呈现你的图像。


你也可以设置强调色。强调色指的是报表第一页上图像下方的粗线颜色。报表内的链接也使用强调色。

图50. 一份定制化的报告 

13.4 自定义报告 

Cobalt Strike 3.0 支持自定义报告。这些脚本是在 Aggressor 脚本语言的子集中定义的。查阅 Aggressor 脚本文档以了解有关此功能的更多信息:
https://www.cobaltstrike.com/aggressor-script