تیم Google Cloud Threat Intelligence مجموعه YARA Rules , شاخص های سازش VirusTotal (IOCs) برای کمک به شناسایی کامپوننتهای Cobalt Strike توسط Defenderها در یک شبکه، را ارائه می کند.
تیم های امنیتی همچنین میتوانند ورژن های مستقر در محیط شبکه خود را با استفاده از این Signatureهای تشخیص، شناسایی کنند.
این قابلیت امکان شناسایی فعالیت های مخرب توسط اهداف نادرست Cobalt Strike (که به صورت بالقوه ورژن های کرک شده هستند) را دارد و در عین حال به تمایز آسان تر بین نسخه های قانونی و نسخه هایی که توسط مهاجمان کنترل می شوند، کمک می کند.
به گفته محققین گوگل، هدف آنها ایجاد بالاترین درستی شناسایی است که بتوان دقیقا ورژن خاص و مشخص Cobalt Strike را شناسایی کرد. بنابراینSignature هایی ساخته اند که ورژن های مشخص Cobalt Strike را شناسایی می کنند.
همچنین گوگل مجموعه ای از Signatureهای شناسایی برای Sliver را منتشر کرد، که آن هم به عنوان یک جایگزین برای Cobalt Strike است و فریم ورکی منبع باز برای آزمایش های امنیتی بوده و مهاجمان از آن برای حملات خود استفاده می کنند.
“Cobalt Strike هم یک ابزار تست قانونی است که از سال 2012 فعالیت می کند و به عنوان یک فریم ورک حمله طراحی شده که تیم های RED از آن برای شناسایی آسیب پذیری ها و گپ های امنیتی استفاده می کنند.
در حالیکه که توسعه دهنده نرم افزار با هدف استفاده قانونی اقدام به فروش لایسنس به مشتریان واقعی می کند اما نسخه های کرک شده Cobalt Strike توسط مهاجمین سایبری و هکرها استفاده می شود. این موضوع این نرم افزار را به یکی از رایجترین ابزار مورد استفاده در حملات سایبری تبدیل کرده است.”
در چنین حملاتی، این ابزار توسط مهاجمان برای کارهای پس از استقرار و به اصطلاح beacon ها استفاده می شود که امان دسترسی از راه دور دائمی به دستگاه های در معرض خطر را برای آنها فراهم می کند.
با کمک beaconهایی که در شبکه قربانیان مستقر می شوند، مهاجمان میتوانند به سرورهای در معرض خطر برای جمعآوری دادههای حساس یا استقرار بدافزارهای بیشتر دسترسی داشته باشند.
منبع: https://www.bleepingcomputer.com
