谷歌发现 34 个 Cobalt Strike 黑客工具包的破解版本
谷歌云(Google Cloud)上周披露,它在野外发现了34个不同的Cobalt Strike工具黑客版本,其中最早的版本于2012年11月发布。
根据谷歌云威胁情报(GCTI)团队的调查结果,这些版本从1.44到4.7,总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。
Cobalt Strike由Fortra(née HelpSystems)开发,是一种受欢迎的对抗框架,红色团队使用它来模拟攻击场景并测试其网络防御能力。
它包括一个作为指挥和控制(C2)中心的团队服务器,以远程控制受感染的设备,以及一个旨在提供下一阶段有效负载的stager,称为Beacon,这是一个功能齐全的植入物,可向C2服务器报告。
google
由于该软件具有广泛的功能,越来越多地黑客将其未经授权的版本武器化,以推进他们的后开发活动。
谷歌Chronicle子公司的逆向工程师Greg Sinclair表示:“虽然Cobalt Strike的意图是模拟真实的网络威胁,但黑客已经掌握了它的能力,并将其作为受害者网络中横向移动的强大工具,作为第二阶段攻击有效载荷的一部分。”
为了解决这种滥用,GCTI发布了一套开源的YARA规则,以标记恶意黑客组织使用的软件的不同变体。
Sinclair说:“我们的想法是删除坏版本,同时保留合法版本,我们的目的是将这个工具移回合法红色团队的领域,让攻击者难以滥用它。”
根据谷歌云威胁情报(GCTI)团队的调查结果,这些版本从1.44到4.7,总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。
Cobalt Strike由Fortra(née HelpSystems)开发,是一种受欢迎的对抗框架,红色团队使用它来模拟攻击场景并测试其网络防御能力。
它包括一个作为指挥和控制(C2)中心的团队服务器,以远程控制受感染的设备,以及一个旨在提供下一阶段有效负载的stager,称为Beacon,这是一个功能齐全的植入物,可向C2服务器报告。
由于该软件具有广泛的功能,越来越多地黑客将其未经授权的版本武器化,以推进他们的后开发活动。
谷歌Chronicle子公司的逆向工程师Greg Sinclair表示:“虽然Cobalt Strike的意图是模拟真实的网络威胁,但黑客已经掌握了它的能力,并将其作为受害者网络中横向移动的强大工具,作为第二阶段攻击有效载荷的一部分。”
为了解决这种滥用,GCTI发布了一套开源的YARA规则,以标记恶意黑客组织使用的软件的不同变体。
Sinclair说:“我们的想法是删除坏版本,同时保留合法版本,我们的目的是将这个工具移回合法红色团队的领域,让攻击者难以滥用它。”
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
