常被紅隊(duì)用于測(cè)試網(wǎng)絡(luò)防御韌性的工具Cobalt Strike�����,在經(jīng)過(guò)十幾年的更新與改進(jìn),現(xiàn)在已經(jīng)發(fā)展成為一個(gè)成熟的點(diǎn)擊系統(tǒng)�,而該工具近期被惡意攻擊者濫用,并將其用作在被害者網(wǎng)絡(luò)中橫向移動(dòng)的強(qiáng)大工具����,成為第二階段攻擊有效負(fù)載的一部分。
常被紅隊(duì)用于測(cè)試網(wǎng)絡(luò)防御韌性的工具Cobalt Strike��,在經(jīng)過(guò)十幾年的更新與改進(jìn)���,現(xiàn)在已經(jīng)發(fā)展成為一個(gè)成熟的點(diǎn)擊系統(tǒng)���,而該工具近期被惡意攻擊者濫用,并將其用作在被害者網(wǎng)絡(luò)中橫向移動(dòng)的強(qiáng)大工具����,成為第二階段攻擊有效負(fù)載的一部分���。
雖然Cobalt Strike供應(yīng)商Fortra通過(guò)審查程序,試圖降低該軟件被濫用的可能性���,但是因?yàn)镃obalt Strike不停地被泄露破解,導(dǎo)致未授權(quán)的Cobalt Strike與一般版本一樣強(qiáng)大。Google現(xiàn)在向社群發(fā)布一組開(kāi)源的YARA規(guī)則,使社群能夠精準(zhǔn)標(biāo)記和識(shí)別Cobalt Strike遭濫用的組件���。
Cobalt Strike是多個(gè)軟件工具的集合���,這些工具被集成到一個(gè)JAR文件中,惡意攻擊者需要激活團(tuán)隊(duì)服務(wù)器(Team Server)組件����,該組件配置一個(gè)集中式服務(wù)器,作為命令與控制端點(diǎn)���,以及控制受感染設(shè)備的協(xié)調(diào)中心。
攻擊者通過(guò)激活JAR來(lái)連接團(tuán)隊(duì)服務(wù)器����,客戶端擁有可視化接口,攻擊者可以從中控制團(tuán)隊(duì)服務(wù)器和受感染主機(jī),團(tuán)隊(duì)服務(wù)器生成大量攻擊框架組件�����,攻擊者可以部署這些組件來(lái)感染和控制遠(yuǎn)程端點(diǎn)�。Cobalt Strike包含多個(gè)用于Javascript、VBA宏和Powershell腳本的提交模板�,這些模板可以部署小型植入程序,并通過(guò)各種網(wǎng)絡(luò)協(xié)議調(diào)用團(tuán)隊(duì)服務(wù)器�����,并且下載最終感染組件Beacon���。
Beacon是核心二進(jìn)制文件��,可讓攻擊者控制受感染的計(jì)算機(jī)���,支持各種命令和操作,同時(shí)也能夠擴(kuò)展下載和執(zhí)行攻擊者開(kāi)發(fā)的模塊�。
Google收集2012年至最新的Cobalt Strike JAR文件版本,針對(duì)各種野外Cobalt Strike組件集變體��,構(gòu)建YARA高精確度偵測(cè)規(guī)則����,可偵測(cè)340個(gè)各版本組件的二進(jìn)制文件���,官方提到,他們的目標(biāo)是創(chuàng)建高傳真?zhèn)蓽y(cè)�,精確鎖定特定Cobalt Strike組件版本。
Google偵測(cè)Cobalt Strike確切版本����,來(lái)確定非惡意用戶的使用,官方提到����,部分版本已經(jīng)被惡意攻擊者大量濫用,通過(guò)精確偵測(cè)版本��,來(lái)維持合法版本的正常使用�。由于Cobalt Strike被濫用的版本,通常至少落后最新版一個(gè)版本���,因此借由制作專門(mén)的簽章來(lái)鎖定這些版本���,這些簽章被集成成VirusTotal中集合。Google同時(shí)也將這些簽章開(kāi)放給網(wǎng)絡(luò)安全供應(yīng)商�,來(lái)提高整個(gè)產(chǎn)業(yè)的開(kāi)源安全性。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
