Google geeft 165 YARA-regels vrij om Cobalt Strike-aanvallen te detecteren

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
30.561
Reactiescore
8.048
Punten
323
Leeftijd
68
Google geeft 165 YARA-regels vrij om Cobalt Strike-aanvallen te detecteren

Door Sergiu Gatlan


Cobalt--Strike.jpg



Het Google Cloud Threat Intelligence-team heeft YARA Rules en een VirusTotal-collectie van indicators of compromise (IOC's)
vrijgegeven om verdedigers te helpen Cobalt Strike-componenten in hun netwerken te detecteren.

Beveiligingsteams zullen ook in staat zijn om Cobalt Strike-versies die in hun omgeving zijn ingezet te identificeren met behulp
van deze detectiehandtekeningen.


"We geven een set open-source YARA-regels en hun integratie als een VirusTotal-collectie vrij aan de gemeenschap om de gemeenschap
te helpen de componenten van Cobalt Strike en hun respectievelijke versies te markeren en te identificeren", aldus Google Cloud Threat
Intelligence-beveiligingsingenieur Greg Sinclair.

"We besloten dat het detecteren van de exacte versie van Cobalt Strike een belangrijk onderdeel was voor het bepalen van de legitimiteit
van het gebruik ervan door niet-kwaadwillenden, aangezien sommige versies zijn misbruikt door bedreigingsactoren."

Dit maakt een betere detectie van kwaadaardige activiteiten mogelijk door zich te richten op niet-actuele Cobalt Strike-releases (mogelijk
gelekte en gekraakte versies), omdat het helpt gemakkelijker onderscheid te maken tussen legitieme implementaties en die welke door
bedreigingsactoren worden gecontroleerd.

Zoals Google uitlegde, lopen gekraakte en gelekte versies van Cobalt Strike in de meeste gevallen minstens één versie achter, waardoor het
bedrijf honderden stagers, sjablonen en bakenmonsters kon verzamelen die in het wild werden gebruikt om YARA-gebaseerde detectieregels
met een hoge mate van nauwkeurigheid te bouwen.

"Ons doel was om high-fidelity detecties te maken, om de exacte versie van bepaalde Cobalt Strike componenten te kunnen lokaliseren.
Waar mogelijk hebben we handtekeningen gebouwd om specifieke versies van de Cobalt Strike-component te detecteren," voegde Sinclair
eraan toe.

Google heeft ook een verzameling detectiehandtekeningen gedeeld voor Sliver, een legitiem en open-source framework voor het emuleren
van tegenstanders, ontworpen voor beveiligingstests, dat ook door kwaadwillenden is overgenomen als Cobalt Strike-alternatief.

Cobalt%20Strike%20infrastructure%20setup.png

Cobalt Strike infrastructuur setup (Google)


Cobalt Strike (gemaakt door Fortra, voorheen bekend als Help Systems) is een legitieme penetratietest tool die sinds 2012 in ontwikkeling is.
Het is ontworpen als een aanvalskader voor red teams die de infrastructuur van hun organisaties scannen om kwetsbaarheden en
beveiligingsgaten te vinden.

Hoewel de ontwikkelaar probeert klanten door te lichten en alleen licenties verkoopt voor legitiem gebruik, zijn er in de loop der tijd ook
gekraakte exemplaren van Cobalt Strike verkregen en gedeeld door dreigingsactoren.

Dit heeft ertoe geleid dat Cobalt Strike een van de meest gebruikte tools is geworden bij cyberaanvallen die kunnen leiden tot
gegevensdiefstal en ransomware.

Bij dergelijke aanvallen wordt het door dreigingsactoren gebruikt voor post-exploitation taken na het inzetten van zogenaamde beacons
die hen blijvende toegang op afstand bieden tot gecompromitteerde apparaten.

Met behulp van beacons die op de netwerken van de slachtoffers worden ingezet, kunnen de aanvallers toegang krijgen tot
gecompromitteerde servers om gevoelige gegevens te verzamelen of verdere malware te implementeren.

Onderzoekers van beveiligingsbedrijf Intezer hebben ook onthuld dat bedreigingsactoren ook hun eigen Linux-beacon
(Vermilion Strike) hebben ontwikkeld en gebruiken (sinds augustus 2021), die compatibel is met Cobalt Strike, om persistentie en
uitvoering van opdrachten op afstand te verkrijgen op zowel Windows- als Linux-apparaten.



 
Bovenaan Onderaan