A Cobalt Strike szimulált támadásokra fejlesztett keretrendszer, melyet gyakran használnak penetration tester-ek és red team-ek, hogy tesztelhessék a vállalatok biztonságát különböző támadásokkal szemben. Konfigurálható Malleable C&C profilokkal, amelyekkel testre szabhatják a „beacon” viselkedését, lehetővé téve a felhasználók számára, hogy valós támadók TTP-jét utánozzák.

Noha a Cobalt Strike-ot támadások szimulációjára fejlesztették ki, kissé ironikus módon a keretrendszer az egyre növekvő számú rosszindulatú támadók használják: a pénzügyileg motivált bűnözőktől, mint például a Navigator/FIN7, az államilag finanszírozott csoportokig, amelyeket politikai kémkedés motivál, mint például az APT29. Az elmúlt években mind a vörös csapatok (red teams), mind a rosszindulatú támadók egyre inkább kihasználták a nyilvánosan és a kereskedelemben elérhető hacker eszközöket. Ennek fő okai valószínűleg a könnyű használat és skálázhatóság.

A Cobalt Strike egyedi karakterisztikája miatt a QRadar-ban vagy a Splunk-ban a következő keresésekkel észlelhetjük a Process Injection támadásokat:

  • QRadar:
  • Spulnk:

Hivatkozások:

https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/

https://uncoder.io/

 

Pin It on Pinterest