Tim Google Cloud Threat Intelligence memiliki Aturan YARA open-source dan Kumpulan Indikator Kompromi (IOC) VirusTotal untuk membantu pembela HAM mendeteksi komponen Cobalt Strike di jaringan mereka.
Tim keamanan juga akan dapat mengidentifikasi versi Cobalt Strike yang diterapkan di lingkungan mereka menggunakan tanda deteksi ini.
“Kami merilis ke masyarakat satu set Aturan YARA sumber terbuka dan integrasi mereka sebagai a Koleksi VirusTotal untuk membantu komunitas menandai dan mengidentifikasi komponen Cobalt Strike dan versinya masing-masing,” kata insinyur keamanan Google Cloud Threat Intelligence, Greg Sinclair.
“Kami memutuskan bahwa mendeteksi versi pasti dari Cobalt Strike adalah komponen penting untuk menentukan legitimasi penggunaannya oleh aktor yang tidak jahat karena beberapa versi telah disalahgunakan oleh aktor ancaman.”
Hal ini memungkinkan peningkatan deteksi aktivitas berbahaya dengan menargetkan rilis Cobalt Strike non-saat ini (versi yang berpotensi bocor dan retak) karena ini membantu membedakan dengan lebih mudah antara penerapan yang sah dan yang dikendalikan oleh pelaku ancaman.
Seperti yang dijelaskan Google, rilis Cobalt Strike yang retak dan bocor, dalam banyak kasus, setidaknya satu versi di belakang, yang memungkinkan perusahaan untuk mengumpulkan ratusan sampel stager, template, dan suar yang digunakan di alam liar untuk membangun aturan deteksi berbasis YARA dengan tingkat akurasi yang tinggi.
“Tujuan kami adalah membuat pendeteksian dengan ketelitian tinggi untuk memungkinkan menunjukkan dengan tepat versi komponen Cobalt Strike tertentu. Jika memungkinkan, kami membuat tanda tangan untuk mendeteksi versi tertentu dari komponen Cobalt Strike,” Sinclair ditambahkan.
Google juga telah membagikan kumpulan tanda tangan deteksi untuk Sliver, kerangka kerja emulasi musuh sumber terbuka dan sah yang dirancang untuk pengujian keamanan yang juga telah diadopsi oleh pelaku jahat sebagai Alternatif Cobalt Strike.
Serangan Kobalt (dibuat oleh Fortra, sebelumnya dikenal sebagai Sistem Bantuan) adalah alat pengujian penetrasi sah yang sedang dikembangkan sejak 2012. Ini telah dirancang sebagai kerangka serangan untuk tim merah yang memindai infrastruktur organisasi mereka untuk menemukan kerentanan dan celah keamanan.
Sementara pengembang berusaha untuk memeriksa pelanggan dan hanya akan menjual lisensi untuk penggunaan yang sah, salinan Cobalt Strike yang sudah diretas juga telah diperoleh dan dibagikan oleh pelaku ancaman dari waktu ke waktu.
Hal ini menyebabkan Cobalt Strike menjadi salah satu alat paling umum yang digunakan dalam serangan siber yang dapat menyebabkan pencurian data dan ransomware.
Dalam serangan seperti itu, ini digunakan oleh pelaku ancaman untuk tugas pasca-eksploitasi setelah menyebarkan apa yang disebut suar yang memberi mereka akses jarak jauh yang terus-menerus ke perangkat yang disusupi.
Dengan bantuan suar yang dipasang di jaringan korban, penyerang dapat mengakses server yang disusupi untuk memanen data sensitif atau menyebarkan muatan malware lebih lanjut.
Peneliti dengan perusahaan keamanan Intezer juga memilikinya mengungkapkan bahwa pelaku ancaman juga telah mengembangkan dan telah menggunakan (sejak Agustus 2021) mercusuar Linux mereka sendiri (Vermilion Strike), kompatibel dengan Cobalt Strike, untuk mendapatkan kegigihan dan eksekusi perintah jarak jauh pada perangkat Windows dan Linux.
