Cobalt Strike, som først ble lansert i 2012, er et kommersielt simuleringsverktøy for inntrengere, og er populært blant trusselaktørene. Cobalt Strike er i hovedsak et modulært rammeverk som bruker skjulte kanaler til å simulere en trusselaktør i organisasjonens nettverk.

Populariteten til Cobalt Strike skyldes hovedsakelig at det er diskret, stabilt og svært tilpasningsdyktig. Det er diskret på grunn av utførelser i minnet til en prosess uten å påvirke filsystemet. Cobalt Strikes Post-Exploitation Suite inkluderer støtte for tastelogging, kommandoutførelse, dumping av brukeropplysninger, filoverføring, portskanning og mer, noe som gjør inntrengerens jobb enklere. Malleable C2 er en annen populær funksjon i Cobalt Strike som lar angripere endre hvordan sporene ser ut for å etterligne annen legitim trafikk.

Selv om leverandøren kontrollerer distribusjonen av lisenser til sikkerhetspersonell, kan inntrengerne få tilgang til dem ofte. Faktisk hadde Proofpoint to måneder tidligere rapportert at bruken av Cobalt Strikeøkte med 161 prosent fra 2019 til 2020 og er fortsatt en stor trussel i 2021. Proofpoint offentliggjorde at de hadde tilskrevet to tredjedeler av identifiserte Cobalt Strike-kampanjer fra 2016 til 2018 til godt utkontrakterte nettkriminelle organisasjoner eller APT-grupper. APT29, APT32, APT41, Cobalt, FIN6, TA505, TIN WOODLAWN og Mustang Panda er bare noen av trusselaktørene som har brukt Cobalt Strike.

Cobalt Strike ble gjentatte ganger brukt i den høyprofilerte SolarWinds-hendelsen der Raindrop-lasteren droppet Cobalt Strike-nyttelasten. Flere ransomware-stammer, som Ryuk, Conti, Egregor og DoppelPaymer, har begynt å bruke Cobalt Strike for å gjøre utrullingen av ransomware raskere. I september 2020 rapporterte Cisco Talos at 66 prosent av ransomware-angrepene involverte Cobalt Strike, og ransomware-aktører er svært avhengige av verktøyet når de forlater råvaretrojanere.

Cobalt Strikes Post-Exploitation-funksjoner kan oppdages når de kjøres i minnet til det infiserte systemet. Sikkerhetsanalytikere kan oppdage gjenværende artefakter i systemet. På samme måte kan analytikere bruke standardinnstillinger som spornavn og standardsertifikater for å hjelpe til med deteksjonen.

LogPoint har nå lansert UseCases v5.0.4, som inkluderer varsler og et dashbord for Cobalt Strikt, for å hjelpe deg med å identifisere trusler i miljøet ditt slik at du kan iverksette korrigerende tiltak.

Oppdag Cobalt Strike-aktivitet i LogPoint

Navngitte kanaler er avgjørende for gjennomføring av et Cobalt Strike-angrep. Før versjon 4.2 lot ikke Cobalt Strike at operatørene endret standardnavn på navngitte kanaler. Hvis Sysmon installeres i miljøet og konfigureres riktig, er det mulig å oppdage Cobalt Strikes standard navngitte kanaler.

norm_id=WindowsSysmon label=Pipe
pipe IN ["\msagent_*", "\MSSE-*-server", "\postex_*", "\status_*", "\mypipe-f*", "\mypipe-h*",
"\ntsvcs_*", "\scerpc_*", "\mojo.5688.8052.183894939787088877*", "\mojo.5688.8052.35780273329370473*"]

Sysmon rules for Cobalt Strike Pipe Names

Sysmon-regler for Cobalt Strike kanalnavn 

LogPoint-kunder kan se vår basissystemkonfigurasjon som dekker ulike Cobalt Strike-aktiviteter.

Inntrengere bruker vanligvis Cobalt Strikes named pipe impersonation-funksjon for å få systemprivilegier, som kan oppdages via prosessopprettelseshendelser.

norm_id=WinServer label="Process" label=Create
parent_process="*\services.exe"
command IN ['*cmd* /c *echo *\pipe\*', '*%COMPSEC%* /c * echo *\pipe\*', '*rundll32*.dll,a*/p:*']

Search for Cobalt Strike Named Pipe Impersonation

Søk etter Cobalt Strike Named Pipe Impersonation

Du kan også jakte på artefakter i tjenester som er laget av Cobalt Strike, fra Service Control Manager-loggene (SCM).

norm_id=WinServer event_id=7045 ((path="*ADMIN$*" service="*.exe") OR (path="%COMSPEC% /b /c start /b /min powershell -nop -w hidden -encodedcommand*"))

Opprettelsen av Sysmons remote thread-logger bidrar til å oppdage Cobalt Strikes prosessinjeksjonsaktivitet.

norm_id=WindowsSysmon event_id=8 start_address IN ["*0B80", "*0C7C", "*0C88"]

Cobalt Strike skaper rundll32 uten kommandolinje, og injiserer regelmessig den nødvendige nyttelastkoden i Roundll32s minne. Derfor må du kontrollere om det opprettes rundll32 uten kommandolinjeargumenter som ikke påvirkes av støyen.

label="Process" label=Create
"process"="*\rundll32.exe" command="*\rundll32.exe"

Deretter kan du dekode PowerShell-økter med standard kommandolinjeprefiks, og se etter snippeter med kommandoer som vanligvis brukes av Cobalt Strike.

norm_id=WinServer event_source=PowerShell event_id=400
application="powershell -nop -exec bypass -EncodedCommand*"
| norm on application -<:'EncodedCommand\s'>
| process codec(decode, encoded_command) as decoded_command
| search decoded_command IN ["*IEX*DownloadString*127.0.0.1:*",
"Invoke-WMIMethod win32_process*-argumentlist*", "Invoke-Command -ComputerName*-ScriptBlock*", "*=New-Object IO.MemoryStream [Convert]::FromBase64String*"] | chart count() by host, device_ip, decoded_command, encoded_command

Cobalt Strikes powerpick-kommando gjør det mulig å utføre ikke-administrerte PowerShell. Du kan jakte på aktiviteten ved hjelp av manglende samsvar i vertsversjonen og motorversjonen i PowerShells Engine Lifecycle-hendelser.

norm_id=WinServer event_source=PowerShell event_id=400
hostname=ConsoleHost application="*\rundll32.exe"
| process compare(host_version, engine_version) as match
| search match=False

Search for mismatch in host version and engine version in PowerShell's Engine Lifecycle events

Søk etter uoverensstemmelser i°host version og engine versjon i PowerShells Engine Lifecycle-hendelser

Proxy-utførelse via RunDLL32 og Regsvr32 er fortsatt den mest populære metoden for å utføre Cobalt Strike-angrep. Du kan jakte på utførelser av binærfiler fra mistenkelige steder.

label="Process" label=Create "process" IN ["*\rundll32.exe", "*\regsvr32.exe"] command IN ["*C:\ProgramData\*", "*C:\Users\Public\*", "*C:\PerfLogs\*", "*\AppData\Local\Temp\*", "*\AppData\Roaming\Temp\*"]

Søk etter innlasting av DLL-filer fra mistenkelige baner

Du kan jakte på standardsertifikater som vises med Cobalt Strike-angrep når motstandere glemmer eller ignorerer å endre standardsertifikatene.

(certificate_serial="8BB00EE" OR certificate_serial_number="8BB00EE")

Search for default Cobalt Strike certificate

Søk etter standard Cobalt Strike-sertifikat

Til slutt kan du se etter IDS/IPS-varsler i forbindelse med Cobalt Strike-angrep. Cisco Talos har laget en liste over snortregler som kan hjelpe deg med å oppdage Cobalt Strike-angrep.

norm_id IN [Snort, SuricataIDS] (message IN ["*CobaltStrike*", "*Cobalt Strike*"] OR signature IN ["*CobaltStrike*", "*Cobalt Strike*"])

Forvent at bruken av Cobalt Strike vil øke

Mange trusselaktører bruker standardinnstillinger i Cobalt Strike, noe som gjør oppdagelser enklere. På den annen side kan sofistikerte trusselaktører, som bryr seg om OPSEC, endre standardinnstillingene for å unngå oppdagelse. Bedrifter kan kjøpe trusselinformasjonsfeeder, for eksempel DFIR Reports, for å få en liste over IP-adresser til Cobalt Strike-servere som brukes som IoC til å sveipe nettverket.

I årene som kommer kan du forvente at trusselaktørene fortsetter, og til og med øker, bruken av Cobalt Strike for å rette seg mot alle bransjer, på grunn av stabiliteten, allsidigheten og kompleksiteten i Cobalt Strike.

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser