A Google 165 YARA-szabályt ad ki a Cobalt Strike támadások észlelésére
A Google Cloud Threat Intelligence csapata a Cobalt Strike összetevőinek észleléséhez biztosít nyílt forráskódú YARA szabályokat és a kihasználás mutatók (IoC) VirusTotal gyűjteményt. A szervezetek biztonsági csapatai ezen észlelési szignatúrák segítségével képesek lesznek azonosítani a különböző Cobalt Strike-verziókat is. A Cobalt Strike szimulált támadásokra fejlesztett keretrendszer, melyet gyakran használnak penetration tester-ek és red team-ek, hogy tesztelhessék a vállalatok biztonságát különböző támadásokkal szemben.
Bár Cobalt Strike-ot támadások szimulációjára fejlesztették ki, kissé ironikus módon a keretrendszer az egyre növekvő számú rosszindulatú támadók használják: a pénzügyileg motivált bűnözőktől, mint például a Navigator/FIN7, az államilag finanszírozott csoportokig, amelyeket politikai kémkedés motivál, mint például az APT29. Az elmúlt években mind a vörös csapatok (red teams), mind a rosszindulatú támadók egyre inkább kihasználták a nyilvánosan és a kereskedelemben elérhető hacker eszközöket. Ennek fő okai valószínűleg a könnyű használat és skálázhatóság.
A Cobalt Strike pontos verziójának felderítése fontos eleme annak, hogy meghatározzák kik használják az eszközt, mert a rosszindulatú szereplők többnyire nem a friss verziót, hanem korábbi feltört verziókat használnak a támadások során.
Ez lehetővé teszi a rosszindulatú tevékenységek jobb észlelését a nem aktuális Cobalt Strike (esetleg kiszivárgott és feltört verziók) azonosításával, mivel segít megkülönböztetni a legális használatot és a fenyegetett szereplők által vezérelt támadásokat.
A Google jelezte, a Cobalt Strike feltört és kiszivárgott kiadásai a legtöbb esetben legalább egy verzióval elmaradtak, ami lehetővé tette a vállalat számára, hogy több száz eszközt, sablont és mintát gyűjtsön össze, amelyeket a felhasználnak nagyfokú pontosságú YARA-alapú észlelési szabályok létrehozásához.
Pingback: Kritikus teszteszköz a támadók kezében – Yet Another News Aggregator Channel