Cobalt Strike, der blev lanceret første gang i 2012, er et kommercielt værktøj til simulering af modstandere og er populært blandt både red teams, pen-testers og trusselsaktører. I bund og grund er Cobalt Strike et modulopbygget framework, der bruger skjulte kanaler til at simulere en trusselsaktør i organisationens netværk.

Cobalt Strikes popularitet skyldes hovedsageligt, at dens beacons er godt skjulte, stabile og meget tilpasningsdygtige. Cobalt Strikes beacons er godt skjulte, fordi de udføres i hukommelsen via refleksion af en proces i hukommelsen uden at påvirke filsystemet. Cobalt Strikes post exploitation-pakke omfatter understøttelse af keylogging, kommandoudførelse, dumping af legitimationsoplysninger, filoverførsel, portscanning og meget mere, hvilket gør modstanderens job nemmere. Malleable C2 er en anden populær funktion i Cobalt Strike, der giver angriberne mulighed for at ændre udseendet på de tilhørende beacons og efterligne anden legitim trafik for at forblive under radaren.

Selvom leverandøren screener distributionen af licenser til sikkerhedsmedarbejdere, er modstanderne ofte i stand til at få adgang til dem og lække dem. Proofpoint rapporterede faktisk to måneder inden, at modstandernes brug af Cobalt Strike steg 161 procent fra 2019 til 2020 og stadig er en markant trussel i 2021. Proofpoint afslørede, at de havde tilskrevet to tredjedele af de identificerede Cobalt Strike-kampagner fra 2016 til 2018 til cyberkriminelle organisationer eller APT-grupper med gode ressourcer. APT29APT32APT41CobaltFIN6TA505TIN WOODLAWN og Mustang Panda er blot nogle af de trusselsaktører, der har benyttet Cobalt Strike til deres aktiviteter.

Cobalt Strike blev gentagne gange brugt i den højprofilerede SolarWinds-forsyningskædehændelse, hvor Raindrop-loaderen slap Cobalt Strike-payloaden. Flere ransomware-grene som Ryuk, Conti, Egregor og DoppelPaymer er begyndt at bruge Cobalt Strike til at fremskynde deres ransomware-implementering. I september 2020 rapporterede Cisco Talos, at 66 % af ransomware-angrebene involverede Cobalt Strike, og at ransomware-aktørerne i høj grad var afhængige af værktøjet, eftersom de ikke længere benyttede sig af trojanske heste.

Cobalt Strikes post exploitation-funktioner eksponeres via beacons, der udføres i det inficerede systems hukommelse. Sikkerhedsanalytikerne kan oprette detekteringer ud fra beaconets resterende artefakter, mens de udfører post-exploitation. På samme måde kan analytikerne bruge standardindstillinger som f.eks. beaconnavne og standardcertifikater som hjælp til identifikationen.

LogPoint har nu frigivet UseCases v5.0.4, som indeholder advarsler og et dashboard til Cobalt Strike, der hjælper dig med at identificere trusler i dit miljø, så du kan iværksætte afhjælpende handlinger mod dem.

Identifikation af Cobalt Strike-aktivitet i LogPoint

Navngivne pipes er afgørende for de handlinger, som Cobalt Strike-beacons udfører. Før version 4.2 gav Cobalt Strike ikke operatørerne mulighed for at ændre standardnavneskemaet for navngivne pipes. Hvis Sysmon implementeres i miljøet og konfigureres korrekt, er det en mulighed for at identificere Cobalt Strikes standardnavngivne pipes.

 

norm_id=WindowsSysmon label=Pipe
pipe IN ["\msagent_*", "\MSSE-*-server", "\postex_*", "\status_*", "\mypipe-f*", "\mypipe-h*",
"\ntsvcs_*", "\scerpc_*", "\mojo.5688.8052.183894939787088877*", "\mojo.5688.8052.35780273329370473*"]

Sysmon rules for Cobalt Strike Pipe Names

Sysmon-regler for Cobalt Strike Pipe-navne 

LogPoint-kunder kan se vores grundlæggende sysmon-konfiguration, der dækker forskellige Cobalt Strike-aktiviteter.

Trusselsaktørerne bruger ofte Cobalt Strikes funktion til efterligning af navngivne pipes til at opnå SYSTEM-rettigheder, der kan registreres via procesoprettelseshændelser.

norm_id=WinServer label="Process" label=Create
parent_process="*\services.exe"
command IN ['*cmd* /c *echo *\pipe\*', '*%COMPSEC%* /c * echo *\pipe\*', '*rundll32*.dll,a*/p:*']

Search for Cobalt Strike Named Pipe Impersonation

Søg efter efterligninger af navngivne Cobalt Strike-pipes

Du kan også søge efter artefakter i tjenester oprettet af Cobalt Strike fra Service Control Manager-logge (SCM).

norm_id=WinServer event_id=7045 ((path="*ADMIN$*" service="*.exe") OR (path="%COMSPEC% /b /c start /b /min powershell -nop -w hidden -encodedcommand*"))

Oprettelsen af Sysmons eksterne trådlogge hjælper med at identificere Cobalt Strikes procesinjektionsaktivitet.

norm_id=WindowsSysmon event_id=8 start_address IN ["*0B80", "*0C7C", "*0C88"]

Cobalt Strike opretter rundll32 uden nogen kommandolinje og indsætter regelmæssigt den nødvendige payload-kode i rundll32’s hukommelse. Du skal derfor kontrollere oprettelsen af rundll32 uden kommandolinjeargumenter, der ikke er påvirket af støjen.

label="Process" label=Create
"process"="*\rundll32.exe" command="*\rundll32.exe"

Derefter kan du afkode PowerShell-sessioner med standardkommandolinjens præfiks og holde udkig efter snippets af kommandoer, der ofte bruges af Cobalt Strike.

norm_id=WinServer event_source=PowerShell event_id=400
application="powershell -nop -exec bypass -EncodedCommand*"
| norm on application -<:'EncodedCommand\s'>
| process codec(decode, encoded_command) as decoded_command
| search decoded_command IN ["*IEX*DownloadString*127.0.0.1:*",
"Invoke-WMIMethod win32_process*-argumentlist*", "Invoke-Command -ComputerName*-ScriptBlock*", "*=New-Object IO.MemoryStream [Convert]::FromBase64String*"] | chart count() by host, device_ip, decoded_command, encoded_command

Cobalt Strikes powerpick-kommando muliggør eksekveringen af ikke-administreret PowerShell. Du kan søge efter aktiviteten via en uoverensstemmelse i værtsversionen og engine-versionen i PowerShells Engine Lifecycle-hændelser.

norm_id=WinServer event_source=PowerShell event_id=400
hostname=ConsoleHost application="*\rundll32.exe"
| process compare(host_version, engine_version) as match
| search match=False

Search for mismatch in host version and engine version in PowerShell's Engine Lifecycle events

Søg efter uoverensstemmelse i værtsversion og engine-version i PowerShells Engine Lifecycle-hændelser

Proxy-eksekvering via RunDLL32 og Regsvr32 er stadig den mest populære metode til eksekvering af Cobalt Strike-beacons. Du kan søge efter eksekvering af binære filer fra mistænkelige steder.

label="Process" label=Create "process" IN ["*\rundll32.exe", "*\regsvr32.exe"] command IN ["*C:\ProgramData\*", "*C:\Users\Public\*", "*C:\PerfLogs\*", "*\AppData\Local\Temp\*", "*\AppData\Roaming\Temp\*"]

Søg efter indlæsning af DLL’er fra mistænkelige stier

Du kan søge efter standardcertifikater, der vises med Cobalt Strike, når modstanderne glemmer eller ignorerer at ændre standardcertifikaterne.

(certificate_serial="8BB00EE" OR certificate_serial_number="8BB00EE")

Search for default Cobalt Strike certificate

Søg efter standardcertifikat for Cobalt Strike

Hold til sidst øje med IDS/IPS-advarsler, der er relateret til Cobalt Strike. Cisco Talos leverede en liste over snort-regler, der kan hjælpe dig med at identificere Cobalt Strike-infektionen.

norm_id IN [Snort, SuricataIDS] (message IN ["*CobaltStrike*", "*Cobalt Strike*"] OR signature IN ["*CobaltStrike*", "*Cobalt Strike*"])

Forvent, at brugen af Cobalt Strike vil stige

Mange trusselsaktører bruger standardindstillinger i Cobalt Strike, hvilket gør det nemmere at identificere sikkerhedsbruddet. På den anden side ændrer sofistikerede trusselsaktører, der går op i OPSEC, standarderne for at undgå at blive identificeret. Virksomheder kan købe threat intel-feeds, f.eks. DFIR Reports, for at få en liste over IP-adresser på Cobalt Strike-servere, der bruges som IoC’er til at sweepe deres netværk.

I de kommende år kan du forvente, at trusselsaktører vil benytte og endda øge deres brug af Cobalt Strike for at ramme alle brancher, på grund af Cobalt Strikes stabilitet og alsidighed og det faktum, at det er vanskeligt at tilskrive hændelsen til Cobalt Strike.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser