常被红队用于测试网络防御韧性的工具Cobalt Strike,在经过十几年的更新与改进,现在已经发展成为一个成熟的点击系统,而该工具近期被恶意攻击者滥用,并将其用作在被害者网络中横向移动的强大工具,成为第二阶段攻击有效负载的一部分。
虽然Cobalt Strike供应商Fortra通过审查程序,试图降低该软件被滥用的可能性,但是因为Cobalt Strike不停地被泄露破解,导致未授权的Cobalt Strike与一般版本一样强大。Google现在向社群发布一组开源的YARA规则,使社群能够精准标记和识别Cobalt Strike遭滥用的组件。
Cobalt Strike是多个软件工具的集合,这些工具被集成到一个JAR文件中,恶意攻击者需要激活团队服务器(Team Server)组件,该组件配置一个集中式服务器,作为命令与控制端点,以及控制受感染设备的协调中心。
攻击者通过激活JAR来连接团队服务器,客户端拥有可视化接口,攻击者可以从中控制团队服务器和受感染主机,团队服务器生成大量攻击框架组件,攻击者可以部署这些组件来感染和控制远程端点。Cobalt Strike包含多个用于Javascript、VBA宏和Powershell脚本的提交模板,这些模板可以部署小型植入程序,并通过各种网络协议调用团队服务器,并且下载最终感染组件Beacon。
Beacon是核心二进制文件,可让攻击者控制受感染的计算机,支持各种命令和操作,同时也能够扩展下载和执行攻击者开发的模块。
Google收集2012年至最新的Cobalt Strike JAR文件版本,针对各种野外Cobalt Strike组件集变体,构建YARA高精确度侦测规则,可侦测340个各版本组件的二进制文件,官方提到,他们的目标是创建高传真侦测,精确锁定特定Cobalt Strike组件版本。
Google侦测Cobalt Strike确切版本,来确定非恶意用户的使用,官方提到,部分版本已经被恶意攻击者大量滥用,通过精确侦测版本,来维持合法版本的正常使用。由于Cobalt Strike被滥用的版本,通常至少落后最新版一个版本,因此借由制作专门的签章来锁定这些版本,这些签章被集成成VirusTotal中集合。Google同时也将这些签章开放给网络安全供应商,来提高整个产业的开源安全性。
厦门商城系统开发品牌跨境出海是看起来链条比较长的事情,通常会有品牌卖家问:作为一个从0开始的出海品牌,我要如何去布局海外市场? 冷启动注意有三个关键点:出海平台分析、流量差异化玩法及渠道选择 一、出海平台分析 首先平台选择方面,之前有提过独立站 的玩法更适合DT…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
