Yakın zamanda Google Cloud Threat Intelligence ekibi tarafından açık kaynak haline getirilen VirusTotal ve YARA Kurallarından bir IOC koleksiyonu var.
Sonuç olarak Google, güvenlik araştırmacılarının ağlarındaki Cobalt Strike bileşenlerini yakalamasını kolaylaştırmak için bu adımı attı.
Bunun dışında, bu algılama imzalarını kullanan siber güvenlik analistleri, Cobalt Strike’ın konuşlandırılmış sürümlerini de ortamlarında tespit edebilecekler.
Kobalt Darbesini Tespit Etmek İçin 165 YARA Kuralı
Kırmızı takımların siber savunmalarının dayanıklılığını test etmek için Cobalt Strike, kırmızı takımlar tarafından kullanılan popüler bir araçtır. Son on yılda bugünkü durumuna gelebilmek için birçok geliştirme değişikliğine ve iyileştirmeye tabi tutulmuştur.
Bunu yaparak, yazılımın olası sızdırılmış ve kırılmış sürümlerini hedefleyerek kötü amaçlı etkinlik daha etkili bir şekilde tespit edilebilir. Bu şekilde, tehdit aktörleri tarafından kontrol edilen konuşlandırmalar ile meşru konuşlandırmalar tarafından kontrol edilen konuşlandırmalar arasında ayrım yapmak daha kolaydır.
Cobalt Strike bileşen setinden yararlanan Google, YARA tabanlı algılama ile bu kötü niyetli değişkenleri vahşi ortamda son derece yüksek bir doğruluk derecesinde tespit edebilen bir algılama sistemi oluşturmuştur.
Her bir Cobalt Strike sürümüne dahil edilen yaklaşık on ila yüz saldırı şablonu ikili dosyası vardır. Cobalt Strike’ın önemli bir yönü, birden çok yazılım aracını tek bir araç olarak işlev gören tek bir jar dosyasına dahil etmesidir.
Bir istemci olarak, oyuncuları Team Server’a bağlayabilmeleri için bağlayan bir JAR dosyası etkinleştirilir. İstemciler, aktörler tarafından takım arkadaşlarını ve virüs bulaşmış ana bilgisayarları bir grafik kullanıcı arabirimi (GUI) aracılığıyla yönetmek için kullanılır.
Ayrıca, Google tarafından açık kaynaklı bir tehdit öykünme çerçevesi olan Sliver için bir algılama imzaları koleksiyonu da paylaşılır. Tehdit aktörleri de güvenlik testi yapmak için bu çerçeveyi Cobalt Strike’a bir alternatif olarak benimsemiştir.
Bu nedenle, en yaygın kullanılan araçlardan biri olduğu için Cobalt Strike’ın veri hırsızlığına ve fidye yazılımı bulaşmalarına yol açabilecek siber saldırılarda kullanılması giderek yaygınlaşıyor.
Bu saldırı yöntemi, tehdit aktörleri tarafından güvenliği ihlal edilmiş cihazlara uzaktan erişmelerini ve saldırılar gerçekleştirildikten sonra istismar sonrası görevleri gerçekleştirmelerini sağlayan işaretçileri konuşlandırdıktan sonra kullanılır.
Saldırganlar, güvenliği ihlal edilmiş sunuculardan hassas verileri toplamak veya daha fazla kötü amaçlı yazılım dağıtmak için, kurbanlarının ağlarına dağıtılan işaretçiler aracılığıyla güvenliği ihlal edilmiş ağlara erişir.
VirusTotal müşterileri, nihai YARA kuralları olarak resmileştirilmiş bu YARA kurallarını içeren bir topluluk imza koleksiyonuna erişebilir. Aracın tehdit aktörleri tarafından suistimal edilmesini zorlaştırmak için Google, aracı meşru kırmızı ekiplerin alanına taşıyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin