谷歌发布了165条YARA规则来检测Cobalt Strike攻击

2022-11-22 10:22:20 4 3150

Google Cloud Threat Intelligence 团队开源了 YARA 规则和 VirusTotal Collection(危害指标 (IOC),以帮助防御者检测其网络中的 Cobalt Strike 组件。



Google Cloud Threat Intelligence 团队开源了 YARA 规则和 VirusTotal Collection(危害指标 (IOC),以帮助防御者检测其网络中的 Cobalt Strike 组件。
安全团队还将能够使用这些检测签名识别部署在其环境中的Cobalt Strike版本。
“我们正在向社区发布一套开源YARA规则,并将其集成为VirusTotal Collection,以帮助社区标记和识别Cobalt Strike的组件及其各自的版本,”谷歌云威胁情报安全工程师Greg Sinclair说。
“我们认为,检测Cobalt Strike的确切版本是确定非恶意行为者使用其合法性的重要组成部分,因为某些版本已被威胁行为者滥用。
这可以通过针对非当前的Cobalt Strike版本(可能泄露和破解的版本)来改进对恶意活动的检测,因为它有助于更轻松地区分合法部署和由威胁参与者控制的部署。
正如谷歌所解释的那样,在大多数情况下,Cobalt Strike的破解和泄露版本至少落后了一个版本,这使得该公司能够收集数百个在野外使用的暂存器,模板和信标样本,以高度准确地构建基于YARA的检测规则。
“我们的目标是进行高保真检测,以便能够精确定位特定钴打击组件的确切版本。只要有可能,我们就会建立签名来检测Cobalt Strike组件的特定版本,“Sinclair补充道。
谷歌还分享了Sliver的检测签名集合,Sliver是一个合法的开源对手仿真框架,专为安全测试而设计,也被恶意行为者采用作为Cobalt Strike的替代品。
基础设施建设

基础设施设置(谷歌)
Cobalt Strike(由Fortra制造,以前称为Help Systems)是自2012年以来开发的合法渗透测试工具。它被设计为红队的攻击框架,他们扫描其组织的基础设施以查找漏洞和安全漏洞。
虽然开发商正试图审查客户,并且只会出售用于合法用途的许可证,但随着时间的推移,威胁行为者也获得并共享了Cobalt Strike的破解副本。
这导致Cobalt Strike成为网络攻击中最常用的工具之一,可能导致数据盗窃和勒索软件。
在此类攻击中,威胁参与者在部署所谓的信标后使用它进行利用后任务,这些信标为他们提供对受感染设备的持久远程访问。
借助部署在受害者网络上的信标, 攻击者可以访问受感染的服务器以收集敏感数据或部署进一步的恶意软件有效载荷.
安全公司 Intezer 的研究人员还透露,威胁行为者还开发并一直在使用(自 2021 年 8 月以来)他们自己的 Linux 信标(Vermilion Strike),与 Cobalt Strike 兼容,以获得在 Windows 和 Linux 设备上的持久性和远程命令执行。

关于作者

团子82篇文章175篇回复

评论4次

要评论?请先  登录  或  注册
  • 4楼
    2023-1-4 17:50

    不开源的工具改起来还是束手束脚,感觉再卷下去还是选择一款开源的 c2 进行修改合适

  • 3楼
    2023-1-4 16:59
    halod00m

    挺好的帖子,说实话往后在利用CS自带的C2profile去完成动态会越来越难感觉,真的要搞免杀还是得从底层去坐

    1

    底层对抗也卷起来了

  • 2楼
    2023-1-4 16:52

    挺好的帖子,说实话往后在利用CS自带的C2profile去完成动态会越来越难感觉,真的要搞免杀还是得从底层去坐

  • 1楼
    2022-11-22 22:02

    逮到威胁情报大佬