Cobalt Strike, som lanserades 2012, är ett kommersiellt simuleringsverktyg för cyberangrepp och är populärt bland Red Teams/etiska hackare, penetrationstestare och även hotaktörer. I grund och botten är Cobalt Strike ett modulärt ramverk för intrångstestning som använder förtäckta kanaler för att simulera en hotaktör i organisationens nätverk.

Cobalt Strikes popularitet beror främst på att dess beacons är förtäckta, stabila och mycket anpassningsbara. Beacons kan förtäcktas tack vare in-memory-exekvering via reflektion in i minnet hos en process utan att filsystemet påverkas. Cobalt Strikes post exploitation-svit innehåller stöd för tangentbordsloggning, kommandoexekvering, behörighetsdumpning, filöverföring, portskanning med mera, som underlättar angriparens jobb. Malleable C2 är en annan uppskattad funktion hos Cobalt Strike som gör att angripare kan ändra hur dess beacons ser ut och imiterar annan legitim trafik för att undvika upptäckt.

Även om programleverantören kontrollerar distributionen av licenser till säkerhetstekniker har illasinnade aktörer lyckats ”cracka” och läcka informationen ett flertal gånger. Faktum är att Proofpoint två månader tidigare rapporterade att illasinnad användning av Cobalt Strike ökade med 161 procent från 2019 till 2020 och förblir ett hot med stora angreppsvolymer under 2021. Proofpoint avslöjade att de kunde tillskriva två tredjedelar av identifierade Cobalt Strike-kampanjer från 2016 till 2018 till välutrustade cyberbrottsorganisationer och APT-grupper  APT29APT32APT41CobaltFIN6TA505TIN WOODLAWN and Mustang Panda är bara en av de många hotaktörer som har använt Cobalt Strike för sina operationer.

Cobalt Strike användes upprepade gånger under den omskrivna supply chain-attacken mot SolarWinds  där Raindrop loader användes för att ladda upp Cobalt Strike-nyttolasten. Flera utpressningstrojaner som Ryuk, Conti, Egregor och DoppelPaymer har börjat använda Cobalt Strike för snabba på installationen av utpressningstrojanen. I september 2020 rapporterade Cisco Talos att 66 procent av ransomware-attackerna involverade Cobalt Strike och att utpressningsaktörer förlitar sig starkt på verktyget när de har börjat överge de mest vanligt förekommande trojaner.

Cobalt Strikes post-exploitation-funktioner exponeras via beacons som exekveras i minnet på det infekterade systemet. Säkerhetsanalytiker kan skapa detekteringar från beacon-artefakterna under post-exploitation. På samma sätt kan analytiker använda standardinställningar som beacon-namn och standardcertifikat för att underlätta identifiering.

LogPoint har nu släppt UseCases v5.0.4 som innehåller larm och en dashboard för Cobalt Strike som hjälper dig att identifiera hot i din miljö så att du kan vidta korrigerande åtgärder mot dem.

Identifiera Cobalt Strike-aktivitet i LogPoint

Namngivna pipes är nödvändiga för driften av Cobalt Strike-beacons. Före version 4.2 tillät inte Cobalt Strike operatörer att ändra de förvalda standardnamnen på namngivna pipes. Om Sysmon finns installerat i miljön och är korrekt konfigurerat är finns det möjlighet att identifiera Cobalt Strikes pipes som har standardnamn.

norm_id=WindowsSysmon label=Pipe
pipe IN ["\msagent_*", "\MSSE-*-server", "\postex_*", "\status_*", "\mypipe-f*", "\mypipe-h*",
"\ntsvcs_*", "\scerpc_*", "\mojo.5688.8052.183894939787088877*", "\mojo.5688.8052.35780273329370473*"]

Sysmon rules for Cobalt Strike Pipe Names

Sysmon-regler för Cobalt Strike pipe-namn 

LogPoint-kunder kan hänvisa till vår grundläggande sysmon-konfiguration som täcker olika Cobalt Strike-aktiviteter.

Angripare använder ofta imitationsfunktionen för namngivna pipes i Cobalt Strike för att erhålla SYSTEM-privilegier som kan detekteras via processkapande händelser.

norm_id=WinServer label="Process" label=Create
parent_process="*\services.exe"
command IN ['*cmd* /c *echo *\pipe\*', '*%COMPSEC%* /c * echo *\pipe\*', '*rundll32*.dll,a*/p:*']

Search for Cobalt Strike Named Pipe Impersonation

Sök efter Cobalt Strike-imitation av namngivna pipes

Du kan också söka efter artefakter i tjänster som skapats av Cobalt Strike i Service Control Manager-loggar (SCM).

norm_id=WinServer event_id=7045 ((path="*ADMIN$*" service="*.exe") OR (path="%COMSPEC% /b /c start /b /min powershell -nop -w hidden -encodedcommand*"))

Skapandet av Sysmon remote-thread-loggar hjälper till att detektera Cobalt Strikea processinjektionsaktiviteter.

norm_id=WindowsSysmon event_id=8 start_address IN ["*0B80", "*0C7C", "*0C88"]

Cobalt Strike genererar rundll32 utan kommandorad och injicerar regelbundet nyttolastkod i rundll32:s minne. Därför måste du kontrollera för skapandet av rundll32 utan några kommandoradsargument som inte påverkas av bruset.

label="Process" label=Create
"process"="*\rundll32.exe" command="*\rundll32.exe"

Därefter kan du avkoda PowerShell-sessioner med standard kommandoradsprefix och hålla utkik efter kommandofragment som vanligen används av Cobalt Strike.

norm_id=WinServer event_source=PowerShell event_id=400
application="powershell -nop -exec bypass -EncodedCommand*"
| norm on application -<:'EncodedCommand\s'>
| process codec(decode, encoded_command) as decoded_command
| search decoded_command IN ["*IEX*DownloadString*127.0.0.1:*",
"Invoke-WMIMethod win32_process*-argumentlist*", "Invoke-Command -ComputerName*-ScriptBlock*", "*=New-Object IO.MemoryStream [Convert]::FromBase64String*"] | chart count() by host, device_ip, decoded_command, encoded_command

Cobalt Strike-kommandot powerpick gör det möjligt att exekvera s.k. unmanaged PowerShell. Du kan söka efter aktiviteten via mismatch i host-versionen och engine-versionen i PowerShell Engine Lifecycle-händelser.

norm_id=WinServer event_source=PowerShell event_id=400
hostname=ConsoleHost application="*\rundll32.exe"
| process compare(host_version, engine_version) as match
| search match=False

Search for mismatch in host version and engine version in PowerShell's Engine Lifecycle events

Sök efter mismatch i host-versionen och engine-version i PowerShell Engine Lifecycle-händelser

Proxyexekvering via RunDLL32 och Regsvr32 är fortfarande den populäraste metoden för att exekvera Cobalt Strike-beacons. Du kan söka efter exekvering av binärfilerna från misstänkta platser.

label="Process" label=Create "process" IN ["*\rundll32.exe", "*\regsvr32.exe"] command IN ["*C:\ProgramData\*", "*C:\Users\Public\*", "*C:\PerfLogs\*", "*\AppData\Local\Temp\*", "*\AppData\Roaming\Temp\*"]

Sök efter inläsning av DLL-filer från misstänkta sökvägar

Du kan söka efter standardcertifikat som skapas av Cobalt Strike när angripare glömmer eller struntar i att ändra standardcertifikaten

(certificate_serial="8BB00EE" OR certificate_serial_number="8BB00EE")

Search for default Cobalt Strike certificate

Sök efter standard Cobalt Strike-certifikat

Håll slutligen utkik efter IDS/IPS-varningsmeddelanden relaterade till Cobalt Strike. Cisco Talos tillhandahåller en lista över snort-regler som kan hjälpa dig att identifiera Cobalt Strike-infektioner.

norm_id IN [Snort, SuricataIDS] (message IN ["*CobaltStrike*", "*Cobalt Strike*"] OR signature IN ["*CobaltStrike*", "*Cobalt Strike*"])

Användningen av Cobalt Strike väntas öka

Många hotaktörer använder standardinställningarna i Cobalt Strike, vilket gör intrång enklare att identifiera. Å andra sidan kan sofistikerade hotaktörer som är måna om operationssekretess (OPSEC) ändra standardinställningarna för att undvika detektering. Företag kan abonnera på threat intel-feeds för cyberhot såsom DFIR Reports, för att erhålla en lista över IP-adresser till Cobalt Strike-servrar som har använts som IoC:er för att genomsöka nätverk.

Under de kommande åren förväntas hotaktörer fortsätta och även öka användningen av Cobalt Strike för att angripa alla branscher på grund av stabiliteten, mångsidigheten och den svåra identifiering av Cobalt Strike.

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner