Google創(chuàng)建YARA規(guī)則集，供用戶偵測遭濫用的紅隊工具

常被紅隊用于測試網(wǎng)絡(luò)防御韌性的工具Cobalt Strike，在經(jīng)過十幾年的更新與改進(jìn)，現(xiàn)在已經(jīng)發(fā)展成為一個成熟的點擊系統(tǒng)，而該工具近期被惡意攻擊者濫用，并將其用作在被害者網(wǎng)絡(luò)中橫向移動的強(qiáng)大工具，成為第二階段攻擊有效負(fù)載的一部分。

雖然Cobalt Strike供應(yīng)商Fortra通過審查程序，試圖降低該軟件被濫用的可能性，但是因為Cobalt Strike不停地被泄露破解，導(dǎo)致未授權(quán)的Cobalt Strike與一般版本一樣強(qiáng)大。Google現(xiàn)在向社群發(fā)布一組開源的YARA規(guī)則，使社群能夠精準(zhǔn)標(biāo)記和識別Cobalt Strike遭濫用的組件。

Cobalt Strike是多個軟件工具的集合，這些工具被集成到一個JAR文件中，惡意攻擊者需要激活團(tuán)隊服務(wù)器（Team Server）組件，該組件配置一個集中式服務(wù)器，作為命令與控制端點，以及控制受感染設(shè)備的協(xié)調(diào)中心。

攻擊者通過激活JAR來連接團(tuán)隊服務(wù)器，客戶端擁有可視化接口，攻擊者可以從中控制團(tuán)隊服務(wù)器和受感染主機(jī)，團(tuán)隊服務(wù)器生成大量攻擊框架組件，攻擊者可以部署這些組件來感染和控制遠(yuǎn)程端點。Cobalt Strike包含多個用于Javascript、VBA宏和Powershell腳本的提交模板，這些模板可以部署小型植入程序，并通過各種網(wǎng)絡(luò)協(xié)議調(diào)用團(tuán)隊服務(wù)器，并且下載最終感染組件Beacon。

Beacon是核心二進(jìn)制文件，可讓攻擊者控制受感染的計算機(jī)，支持各種命令和操作，同時也能夠擴(kuò)展下載和執(zhí)行攻擊者開發(fā)的模塊。

Google收集2012年至最新的Cobalt Strike JAR文件版本，針對各種野外Cobalt Strike組件集變體，構(gòu)建YARA高精確度偵測規(guī)則，可偵測340個各版本組件的二進(jìn)制文件，官方提到，他們的目標(biāo)是創(chuàng)建高傳真?zhèn)蓽y，精確鎖定特定Cobalt Strike組件版本。

Google偵測Cobalt Strike確切版本，來確定非惡意用戶的使用，官方提到，部分版本已經(jīng)被惡意攻擊者大量濫用，通過精確偵測版本，來維持合法版本的正常使用。由于Cobalt Strike被濫用的版本，通常至少落后最新版一個版本，因此借由制作專門的簽章來鎖定這些版本，這些簽章被集成成VirusTotal中集合。Google同時也將這些簽章開放給網(wǎng)絡(luò)安全供應(yīng)商，來提高整個產(chǎn)業(yè)的開源安全性。