A Cobalt Strike szimulált támadásokra fejlesztett keretrendszer, melyet gyakran használnak penetration tester-ek és red team-ek, hogy tesztelhessék a vállalatok biztonságát különböző támadásokkal szemben. Konfigurálható Malleable C&C profilokkal, amelyekkel testre szabhatják a „beacon” viselkedését, lehetővé téve a felhasználók számára, hogy valós támadók TTP-jét utánozzák.

Noha a Cobalt Strike-ot támadások szimulációjára fejlesztették ki, kissé ironikus módon a keretrendszer az egyre növekvő számú rosszindulatú támadók használják: a pénzügyileg motivált bűnözőktől, mint például a Navigator/FIN7, az államilag finanszírozott csoportokig, amelyeket politikai kémkedés motivál, mint például az APT29. Az elmúlt években mind a vörös csapatok (red teams), mind a rosszindulatú támadók egyre inkább kihasználták a nyilvánosan és a kereskedelemben elérhető hacker eszközöket. Ennek fő okai valószínűleg a könnyű használat és skálázhatóság.

A Cobalt Strike egyedi karakterisztikája miatt a QRadar-ban vagy a Splunk-ban a következő keresésekkel észlelhetjük a Process Injection támadásokat:

  • QRadar:
    SELECT UTF8(payload) as search_payload from events where (LOGSOURCETYPENAME(devicetype)=’Microsoft Windows Security Event Log’ and “Event ID Code”=’8′ and TargetProcessAddress ilike ‘%0B80’)

Spulnk:
(source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” EventCode=”8″ TargetProcessAddress=”*0B80″)

Top