安全公司 ESET 关于 2022 年第二季度

limow32029

利用旧的破解版本
然而，与其他工具不同，Cobalt Strike 不是免费的。事实上，它相当昂贵，每个用户每年的许可费为 5,900 美元。大多数依赖 Cobalt Strike 的攻击者都会使用网上泄露的旧破解版本来避免成本。这就是检测机会出现的地方。这是因为正常付款的客户可能会使用最新版本的框架以及所有最新的错误修复。


考虑到这一点，Google 研究人员开始为 2012 年以来 电话号码数据 发布的每个版本的 Cobalt Strike 映射独特的文件和模板。



谷歌云威胁情报（GCTI）研究人员在一篇博客文章中写道：“泄露的 Cobalt Strike 破解版本不是 Fortra（拥有并销售 Cobalt Strike 的公司）的最新版本，通常至少落后一个版本。” 为了专注于这些旧版本，我们创建了数百个独特的签名，并将它们整合到 VirusTotal 上可用的社区签名集合中。“我们还在继续努力提高整个行业的开源安全性，包括将我们的签名作为开源发布给愿意在自己的产品中部署这些签名的网络安全公司。”Google 团队还在 GitHub 上发布了 YARA 规则。

YARA 是一种开源跨平台工具，用于识别和编目恶意软件，被大多数安全公司使用和支持。安全团队还可以在内部使用 YARA 来查找其网络上的威胁。谷歌的规则包括 165 个签名，涵盖 34 个 Cobalt Strike 版本，每个版本都有 10 到 100 个攻击模板和一个独特的信标组件。

谁使用 Cobalt Strike？
Cobalt Strike 长期以来一直被 APT 组织使用，但 Carbanak 是第一个广泛使用该工具的网络犯罪组织。Carbanac是一个由多个部门组成的综合性组织，它以金融机构和零售商为目标，渗透其网络，识别受害公司的财务流程和工作流程，然后通过转账窃取巨额资金。卡巴纳克曾被称为钴哥布林或钴集团，因为他们在攻击过程中广泛使用钴打击。

另一个严重依赖钴打击的臭名昭著的组织是巫师蜘蛛。该组织创建了著名的 Trickbot 僵尸网络以及 Ryuk 和 Conti 勒索软件程序。根据安全公司Palo Alto Networks最近的一份报告，可能源自 REvil 勒索软件团伙的勒索卡特尔也使用了 Cobalt Strike。

APT 活动的最新报告如图所示，Dukes (APT29) 继续使用 Cobalt Strike 作为针对政府组织的鱼叉式网络钓鱼活动的最终有效负载，该活动使用 .ISO 映像。这一活动与 CISA 和 FBI 5 月份联合发布的警报内容一致。APT29 与俄罗斯对外情报局（SVR）有关。中国政府支持的几个网络间谍组织，包括 APT19、APT32 和 APT41，也使用 Cobalt Strike。

Cybrary 高级安全研究员 Matt Mullins 告诉 CSO：“GCTI 签署泄露/破解的 Cobalt Strike 版本变体的努力对于 DFIR 社区来说是一个良好的开端。” GCTI 提供的规则具体描述了每个版本的重要字符串/命名约定、该版本的默认值以及与此行为相关的汇编的几个重要方面。这样可以高度准确地检测威胁行为者广泛传播和使用的相关版本。“这些信息减轻了内部团队的大部分负担，他们可能没有必要的技能或资源来自行查找和衡量这些信息。