ارائه راهکار جدیدی برای شناسایی ده‌ها نسخه کرک شده Cobalt Strike توسط گوگل

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir google cobalt strike detection 1
محققان در Google Cloud مجموعا ٣٤ نسخه هک شده مختلف از ابزار Cobalt Strike را در فضای سایبری شناسایی کردند.

بدافزار Cobalt Strike یک محصول تست نفوذ پولی است که به مهاجم اجازه می‌دهد عاملی به نام «Beacon» را در دستگاه قربانی مستقر کند. Beacon شامل عملکرد‌های فراوانی برای مهاجم است، از‌جمله اجرای کامند، ثبت کلید، انتقال فایل، پروکسی‌کردن SOCKS، افزایش اختیارات، mimikatz، اسکن پورت و حرکت جانبی.

takian.ir google cobalt strike detection 2

محققان Google Cloud اعلام کردند که ٣٤ نسخه مختلف انتشار هک شده Cobalt Strike را با مجموع ٢٧۵ فایل JAR منحصر‌به‌فرد در این نسخه‌ها کشف کرده‌اند.

محققان Google Cloud Threat Intelligence (GCTI) مجموعه‌ای از قوانین YARA را برای شناسایی انواع هک شده در فضای سایبری با درجه بالایی از دقت توسعه دادند. محققان متوجه شدند که هر نسخه Cobalt Strike شامل تقریبا ١٠ تا ١٠٠ باینری قالب حمله است.

کارشناسان توانستند نسخه‌های فایل Cobalt Strike JAR را که از نسخه 1.44 شروع می‌شود (که در سال ٢٠١٢ منتشر شد) تا آخرین نسخه در زمان انتشار تجزیه‌و‌تحلیل، Cobalt Strike 4.7، پیدا کنند.

محققان مرحله‌ها، الگو‌ها و بیکن‌ها را، از‌جمله رمزگذاری‌های XOR که از نسخه 1.44 توسط Cobalt Strike استفاده می‌شد، فهرست‌بندی کردند.

مجموعه GCTI متوجه شد که نسخه‌های کرک شده ابزار پس از بهره‌برداری که در حمله در طبیعت استفاده می‌شود، آخرین نسخه‌های تامین‌کننده Fortra نیستند، اما معمولا حداقل یک نسخه منتشر شده پشت آن هستند. به همین دلیل، محققان گوگل روی این نسخه‌ها تمرکز کردند.

گزارش منتشر شده توسط گوگل بیان می‌کند : "ما با ایجاد صد‌ها امضای منحصربه‌فرد که به‌عنوان مجموعه‌ای از امضا‌های انجمن موجود در VirusTotal یکپارچه شده‌اند، روی این نسخه‌ها تمرکز کردیم. ما همچنین این امضا‌ها را در قالب متن باز برای تامین‌کنندگان امنیت سایبری که علاقه‌مند به استقرار آن‌ها در محصولات خود هستند، منتشر کردیم و به تعهد خود برای بهبود امنیت متن باز در سراسر صنعت ادامه می‌دهیم. "

فعالیت انجام شده توسط گوگل با هدف بهبود تشخیص فعالیت‌های مخرب مربوط به نسخه هک شده ابزار بدافزار است. این کار، اقدام مهمی است که بر نسخه‌های قانونی ابزار‌های مورد استفاده در تست نفوذ و «تیم‌های قرمز» تاثیری نداشته است.

گوگل افزود : "ما می‌خواستیم تشخیص بهتری از اقدامات انجام‌شده توسط عاملان مخرب انجام دهیم و به یک رویکرد جراحی‌گونه نیاز داشتیم تا نسخه‌های بد‌را حذف کنیم و در‌عین‌حال نسخه‌های قانونی را دست‌نخورده نگه داریم. این مستلزم تشخیص نسخه دقیق اجزا Cobalt Strike بود. با هدف قرار دادن فقط نسخه‌های غیر فعلی اجزا، می‌توانیم آخرین نسخه‌ها و نسخه‌ای که مشتریان پولی از آن استفاده می‌کنند را به حال خود رها کنیم. "

برچسب ها: SOCKS, Red Team, Fortra, Cobalt Strike JAR, Google Cloud, XOR, Beacon, Cobalt Strike Beacon, Cobalt Strike, Jar, malware, دفاع سایبری, Cyber Security, گوگل, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ