谷歌云威脅情報(bào)團(tuán)隊(duì)近日開(kāi)源了YARA規(guī)則和VirusTotal Collection危害指標(biāo)(IOC),以幫助防御者檢測(cè)其網(wǎng)絡(luò)中的Cobalt Strike組件。安全團(tuán)隊(duì)還將能夠使用這些檢測(cè)簽名識(shí)別部署在其環(huán)境中的Cobalt Strike版本。
谷歌團(tuán)隊(duì)指出,檢測(cè)Cobalt Strike的確切版本有助于區(qū)分合法部署和惡意部署行為,因?yàn)榇蠖鄶?shù)攻擊者使用的都是Cobalt Strike的破解版本。
在大多數(shù)情況下,Cobalt Strike的破解和泄露版本至少落后合法版本一個(gè)版本,谷歌通過(guò)收集數(shù)百個(gè)在野外使用的Cobalt Strike暫存器,模板和信標(biāo)樣本,以高度準(zhǔn)確地構(gòu)建基于YARA的檢測(cè)規(guī)則。
“我們的目標(biāo)是進(jìn)行高保真檢測(cè),以便能夠精確定位特定Cobalt Strike組件的確切版本。只要有可能,我們就會(huì)建立簽名來(lái)檢測(cè)Cobalt Strike組件的特定版本?!惫雀柩芯空哐a(bǔ)充道。
谷歌還分享了Sliver的檢測(cè)簽名集合,Sliver是一個(gè)合法的開(kāi)源對(duì)手仿真框架,專(zhuān)為安全測(cè)試而設(shè)計(jì),也被惡意行為者采用作為Cobalt Strike的替代品。
Colbalt Strike的基礎(chǔ)設(shè)施 來(lái)源:谷歌
Cobalt Strike(由Fortra開(kāi)發(fā),以前稱(chēng)為Help Systems)是2012年以來(lái)可公開(kāi)獲得的合法滲透測(cè)試工具。它被設(shè)計(jì)為紅隊(duì)的攻擊框架,能夠掃描組織的基礎(chǔ)設(shè)施查找漏洞。
雖然Colbalt Strike的開(kāi)發(fā)商試圖審查客戶(hù),并且表示只會(huì)出售用于合法用途的許可證,但隨著時(shí)間的推移,越來(lái)越多的攻擊者也獲得并共享了Cobalt Strike的破解副本。這導(dǎo)致Cobalt Strike成為網(wǎng)絡(luò)攻擊中最常用的工具之一,可能導(dǎo)致數(shù)據(jù)盜竊和勒索軟件。
在此類(lèi)攻擊中,攻擊者會(huì)在部署“信標(biāo)”后執(zhí)行利用后任務(wù),這些信標(biāo)為他們提供對(duì)受感染設(shè)備的持久遠(yuǎn)程訪問(wèn)。
借助部署在受害者網(wǎng)絡(luò)上的信標(biāo),攻擊者可以訪問(wèn)受感染的服務(wù)器以收集敏感數(shù)據(jù)或部署進(jìn)一步的惡意軟件有效載荷。
安全公司Intezer的研究人員還透露,攻擊者還開(kāi)發(fā)并一直在使用(自2021年8月以來(lái))他們自己的Linux信標(biāo)(Vermilion Strike),該信標(biāo)與Cobalt Strike兼容可以獲得在Windows和Linux設(shè)備上的持久性和遠(yuǎn)程命令執(zhí)行。
參考鏈接:
https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse
文章來(lái)源:GoUpSec