BT güvenlik ekipleri, tehdit aktörleri tarafından kötü amaçlı yazılım dağıtmak için kullanılan en popüler araçlardan birini tespit etmek için yeni bir silah alıyor: Cobalt Strike saldırı çerçevesinin kırık sürümleri.
Google bir dizi yayınladı açık kaynak YARA Kuralları ve bunların bir bütün olarak entegrasyonu Virüs Toplam Koleksiyonu infosec profesyonellerinin Cobalt Strike’ın bileşenlerini ve ilgili sürümlerini işaretlemesine ve tanımlamasına yardımcı olmak için. Google Güvenlik Mühendisi Greg Sinclair, “Pek çok tehdit aktörü, siber saldırılarını ilerletmek için Cobalt Strike’ın kırık sürümlerine güvendiğinden, kullanımını kesintiye uğratarak dünya genelinde kuruluşları, çalışanlarını ve müşterilerini korumaya yardımcı olabileceğimizi umuyoruz” dedi. Bulut Tehdit İstihbaratı bölümü, bir blogda söylendi.
2012’de ticari bir ürün olarak oluşturulan ve şimdi Fortra tarafından satılan Cobalt Strike, kırmızı takım oyuncularının kuruluşlarının siber savunmalarının dayanıklılığını test etmeleri için bir araç seti olarak tasarlandı.
Bir JAR dosyasına sarılı olarak, hem Komuta ve Kontrol (C2) uç noktası hem de birden çok aktörün virüslü cihazları kontrol etmesi için bir koordinasyon merkezi olarak çalışan merkezi bir sunucu kuran bir Ekip Sunucusu bileşeni içerir. Javascript, VBA makroları ve Powershell betikleri için, aşamalı aygıtlar olarak bilinen küçük kabuk kodu (disksiz) implantları konuşlandırabilen çeşitli teslim şablonları vardır. Bu aşamalayıcılar, Beacon olarak bilinen son aşama implantını indirmek için HTTP/HTTPS, SMB ve DNS dahil olmak üzere desteklenen iletişim kanallarından biri aracılığıyla Ekip Sunucusunu geri çağırır. Beacon, oyuncuya virüslü bilgisayar üzerinde kontrol sağlayan temel ikili dosyadır.
Tehdit aktörlerinin buna bakıp “Vay canına” demesine şaşmamak gerek. Ve ilk saldırılarına ve kötü amaçlı yazılım dağıtımına yardımcı olmak için kopyalarını çıkarmaya başladılar. Google, mevcut sürüm 4.7’nin kopyaları da dahil olmak üzere Cobalt Strike’ın 34 farklı ve yasa dışı sürümünü buldu.
A ttipik Cobalt Strike altyapı kurulumu. Google resmi
Cobalt Strike’ı veya klonlarını tespit etmek kolay değil. Cobalt Strike’ın her yayınlanan sürümü için genellikle yeni, benzersiz bir işaret bileşeni oluşturulur. Google, mevcut olmayan tüm sürümlerde Cobalt Strike bileşenleri için 165 imza oluşturmak zorunda kaldı. Bunun nedeni, tipik olarak, Cobalt Strike’ın sızan ve kırılan sürümlerinin mevcut ticari sürümün arkasında bir yayın sürümü olmasıdır.
Google tarafından oluşturulan ve VirusTotal’dan indirilebilen YARA kuralları, AlienVault, Cisco Systems, ESET, Forcepoint, Kaspersky, McAfee/Trellix, SonicWall, Trend Micro ve diğerleri dahil olmak üzere satıcıların kötü amaçlı yazılım algılama uygulamalarında kullanılabilir.
Google’dan Sinclair, “Amacımız,” diyor, “aracın yasal kırmızı ekiplerin alanına geri taşınması ve kötü adamların suistimal etmesini zorlaştırmak.”
Bu, Cobalt Strike’ın kötü sürümlerini tespit etmeye yönelik ilk çaba değil. Örneğin, 2020’de Cisco Systems, SNORT ve ClamAV algılama imzalarını yayınladı, yanı sıra Cobalt Strike’ı tespit etmeye yönelik bir araştırma makalesi.
Güvenlik ekibinizin Cobalt Strike’ın kötüye kullanımını nasıl tespit edebileceğini öğrenmek ister misiniz? Mandiant bunu yazdı ayrıntılı blog savunucuların aranacak eserleri anlamalarına yardımcı olmak için. Microsoft tavsiye de veriyorve Secureworks notlar varsayılan olarak Cobalt Strike, komut yürütme için her zaman Rundll32 yardımcı programından yararlanır.
Kaynak : https://www.itworldcanada.com/article/yara-rules-released-to-detect-threat-actors-use-of-cobalt-strike/514650