常被红队用于测试网络防御韧性的工具Cobalt Strike,在经过十几年的更新与改进,现在已经发展成为一个成熟的点击系统,而该工具近期被恶意攻击者滥用,并将其用作在被害者网络中横向移动的强大工具,成为第二阶段攻击有效负载的一部分。
虽然Cobalt Strike供应商Fortra通过审查程序,试图降低该软件被滥用的可能性,但是因为Cobalt Strike不停地被泄露破解,导致未授权的Cobalt Strike与一般版本一样强大。Google现在向社群发布一组开源的YARA规则,使社群能够精准标记和识别Cobalt Strike遭滥用的组件。
Cobalt Strike是多个软件工具的集合,这些工具被集成到一个JAR文件中,恶意攻击者需要激活团队服务器(Team Server)组件,该组件配置一个集中式服务器,作为命令与控制端点,以及控制受感染设备的协调中心。
攻击者通过激活JAR来连接团队服务器,客户端拥有可视化接口,攻击者可以从中控制团队服务器和受感染主机,团队服务器生成大量攻击框架组件,攻击者可以部署这些组件来感染和控制远程端点。Cobalt Strike包含多个用于Javascript、VBA宏和Powershell脚本的提交模板,这些模板可以部署小型植入程序,并通过各种网络协议调用团队服务器,并且下载最终感染组件Beacon。
Beacon是核心二进制文件,可让攻击者控制受感染的计算机,支持各种命令和操作,同时也能够扩展下载和执行攻击者开发的模块。
Google收集2012年至最新的Cobalt Strike JAR文件版本,针对各种野外Cobalt Strike组件集变体,构建YARA高精确度侦测规则,可侦测340个各版本组件的二进制文件,官方提到,他们的目标是创建高传真侦测,精确锁定特定Cobalt Strike组件版本。
Google侦测Cobalt Strike确切版本,来确定非恶意用户的使用,官方提到,部分版本已经被恶意攻击者大量滥用,通过精确侦测版本,来维持合法版本的正常使用。由于Cobalt Strike被滥用的版本,通常至少落后最新版一个版本,因此借由制作专门的签章来锁定这些版本,这些签章被集成成VirusTotal中集合。Google同时也将这些签章开放给网络安全供应商,来提高整个产业的开源安全性。