谷歌云威胁情报团队开源了 YARA 规则和 VirusTotal 妥协指标 (IOC) 集合,以帮助防御者检测其网络中的 Cobalt Strike 组件。
安全团队还将能够使用这些检测签名识别部署在其环境中的 Cobalt Strike 版本。
谷歌云威胁情报安全工程师 Greg Sinclair 表示: “我们向社区发布了一套 开源 YARA 规则 ,并将它们集成为 VirusTotal 集合 ,以帮助社区标记和识别 Cobalt Strike 的组件及其各自的版本。”
“我们决定检测 Cobalt Strike 的确切版本是确定非恶意行为者使用它的合法性的重要组成部分,因为一些版本已被威胁行为者滥用。”
这可以通过针对非当前的 Cobalt Strike 版本(可能泄露和破解的版本)来改进对恶意活动的检测,因为它有助于更轻松地区分合法部署和由威胁参与者控制的部署。
正如谷歌解释的那样,在大多数情况下,破解和泄露的 Cobalt Strike 版本至少落后一个版本,这使该公司能够收集数百个在野外使用的 stager、模板和信标样本,以构建基于 YARA 的检测规则高度准确。
“我们的目标是进行高保真检测,以便能够精确定位特定 Cobalt Strike 组件的确切版本。只要有可能,我们就会构建签名来检测 Cobalt Strike 组件的特定版本,”Sinclair 补充道。
谷歌还分享了 Sliver 的检测签名集合,Sliver 是一种合法的开源对手仿真框架,专为安全测试而设计,也被恶意行为者用作 Cobalt Strike 的替代品。
Cobalt Strike (由 Fortra 制造,以前称为 Help Systems)是自 2012 年以来正在开发的合法渗透测试工具。它被设计为一个攻击框架,供红队扫描其组织的基础设施以发现漏洞和安全漏洞。
虽然开发人员正试图审查客户并且只会出售合法用途的许可证,但随着时间的推移,Cobalt Strike 的破解副本也已被威胁者获取并共享。
这导致 Cobalt Strike 成为网络攻击中最常用的工具之一,可能导致数据盗窃和勒索软件。
在此类攻击中,威胁参与者在部署所谓的信标后使用它执行后期开发任务,这些信标为他们提供对受感染设备的持久远程访问。
借助部署在受害者网络上的信标,攻击者可以访问受感染的服务器以获取敏感数据或部署更多的恶意软件有效负载。
安全公司 Intezer 的研究人员还 透露 ,威胁参与者还开发并一直在使用(自 2021 年 8 月起)他们自己的 Linux 信标(Vermilion Strike),与 Cobalt Strike 兼容,以在 Windows 和 Linux 设备上获得持久性和远程命令执行.
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 谷歌发布165条YARA规则来检测Cobalt Strike攻击
