,谷歌云威胁情报团队最近宣布开源YARA规则和Virustotal收集的妥协指标,以帮助企业抵御Cobalt Strike攻击。
谷歌云威胁情报的安全工程师格雷格·辛克莱说:
我们正在向社区发布一组开源YARA规则,并将它们集成到VirusTotal集合中,以帮助社区标记和识别Cobalt Strike的组件及其各自的版本由于一些版本已被威胁行为者滥用,检测钴击的确切版本是确定非恶意行为者使用合法性的重要部分
本站了解到,破解版和泄露版的Cobalt Strike在大多数情况下至少落后一个版本,这使得谷歌能够收集数百个黑客使用的框架,模板和信标样本,以建立基于YARA的高准确度检测规则。
辛克莱补充道:
我们的目标是进行高保真测试,以便可以准确地确定特定Cobalt Strike组件的版本只要有可能,我们将建立签名,以检测钴罢工组件的特定版本
本站了解到,Cobalt Strike是一个合法的渗透测试工具,自2012年以来一直在开发中它被设计为红队的攻击框架,用于扫描其组织的基础设施的漏洞和安全漏洞这使得Cobalt Strike成为网络攻击中最常用的工具之一,可能会导致数据窃取和勒索软件
。
