Η ομάδα Google Cloud Threat Intelligence διαθέτει στο κοινό, κάποια YARA rules και μια συλλογή από indicators of compromise (IOC) του VirusTotal, έτσι ώστε να βοηθήσει τους defenders να εντοπίσουν components Cobalt Strike στα δίκτυά τους.
Επίσης, οι ομάδες ασφαλείας θα μπορούν να αναγνωρίζουν εκδόσεις Cobalt Strike που έχουν αναπτυχθεί στο περιβάλλον τους χρησιμοποιώντας αυτές τις υπογραφές ανίχνευσης.
«Κοινοποιούμε στην κοινότητα ένα σύνολο από YARA Rules ανοιχτού κώδικα και την ενσωμάτωσή τους ως VirusTotal Collection για να βοηθήσουμε την κοινότητα να επισημάνει και να αναγνωρίσει τα components του Cobalt Strike και τις αντίστοιχες εκδόσεις του», δήλωσε ο μηχανικός ασφαλείας της Google Cloud Threat Intelligence, Greg Sinclair.
Δείτε επίσης: Οι χάκερ Worok κρύβουν νέο malware σε εικόνες PNG
“Αποφασίσαμε ότι η ανίχνευση της ακριβούς έκδοσης του Cobalt Strike ήταν ένα σημαντικό component για τον προσδιορισμό της νομιμότητας της χρήσης του από μη κακόβουλους παράγοντες, καθώς ορισμένες εκδόσεις έχουν γίνει abused από απειλητικούς παράγοντες.”
Αυτό επιτρέπει τη βελτιωμένη ανίχνευση κακόβουλης δραστηριότητας στοχεύοντας μη τρέχουσες εκδόσεις Cobalt Strike (leaked και cracked εκδόσεις), καθώς βοηθάει στην ευκολότερη διάκριση μεταξύ νόμιμων deployments και εκείνων που ελέγχονται από απειλητικούς παράγοντες.
Όπως εξηγεί η Google, οι “σπαμένες” και leaked εκδόσεις του Cobalt Strike, είναι τουλάχιστον μια έκδοση πίσω, το οποίο επέτρεψε στην εταιρία να συλλέξει εκατοντάδες stagers, templates και δείγματα beacon που χρησιμοποιούνται από τους χάκερ για να δημιουργήσει κανόνες ανίχνευσης βασισμένους στο YARA με υψηλό βαθμό ακρίβειας.
Η Google κοινοποίησε και μια συλλογή από υπογραφές εντοπισμού για το Sliver, ένα πρόγραμμα ασφαλείας ανοιχτού κώδικα το οποίο χρησιμοποιείται ως εναλλακτική για το Cobalt Strike.
To Cobalt Strike, που κατασκευάστηκε το 2012 από την εταιρία Fortra είναι ένα νόμιμο εργαλείο penetration testing. Ο σκοπός του ήταν να το χρησιμοποιούν τα Red Teams για να ελέγχουν τις υποδομές των οργανισμών τους και να εντοπίζουν τα κενά ασφαλείας.
Δείτε επίσης: Cobalt Strike: Fake exploits των Windows στοχεύουν ερευνητές ασφαλείας
Ενώ οι developers προσπαθούσαν να ελέγχουν τους πελάτες, και να παρέχουν το πρόγραμμα μόνο για νόμιμη χρήση, ανά διαστήματα εμφανιζόντουσαν “σπασμένες” version.
Αυτό είχε ως αποτέλεσμα να γίνει ένα από τα πιο κοινά εργαλεία που χρησιμοποιούνται σε cyber attacks, για κλοπή δεδομένων και άλλα.
Οι ερευνητές της εταιρείας ασφαλείας Intezer αποκάλυψαν επίσης ότι οι απειλητικοί φορείς έχουν επίσης αναπτύξει και χρησιμοποιούν (από τον Αύγουστο του 2021) το δικό τους Linux beacon (Vermilion Strike), συμβατό με το Cοbalt Strike, για να αποκτήσουν persistence και απομακρυσμένη εκτέλεση εντολών σε συσκευές Windows και Linux.
Δείτε επίσης: Η Microsoft μόλις επέκτεινε την malware προστασία της για servers Linux
Πηγή: bleepingcomputer.com
