0
0
A equipe de pesquisa e aplicativos de inteligência do Google Cloud criou e lançou uma coleção de 165 regras YARA para ajudar os defensores a sinalizar os componentes do Cobalt Strike implantados pelos invasores.
“Nossa intenção é levar a ferramenta de volta ao domínio das equipes vermelhas legítimas e dificultar o abuso por criminosos”, diz Greg Sinclair, engenheiro de segurança do Google Cloud Threat Intelligence.
O problema com Cobalt Strike
O Cobalt Strike , uma ferramenta legítima de simulação de adversários usada por pentesters e equipes cibernéticas, também se tornou a ferramenta de pós-exploração preferida dos agentes de ameaças.
Enquanto alguns invasores passaram a usar Brute Ratel , DeimosC2 e ferramentas semelhantes, o Cobalt Strike ainda é uma opção muito popular.
Criando as regras de detecção
“O fornecedor do Cobalt Strike Fortra (até recentemente conhecido como Help Systems) usa um processo de verificação que tenta minimizar o potencial que o software será fornecido a atores que o usarão para fins nefastos, mas o Cobalt Strike vazou e foi quebrado ao longo dos anos. . Essas versões não autorizadas do Cobalt Strike são tão poderosas quanto seus primos de varejo, exceto pelo fato de não terem licenças ativas, portanto não podem ser atualizadas facilmente”, explicou Sinclair .
Assim, a equipe analisou todas as versões crackeadas da ferramenta que pôde encontrar – 34 no total – e procurou estágios, modelos de ataque e beacons exclusivos para que pudessem criar regras de detecção precisas.
“Decidimos que detectar a versão exata do Cobalt Strike era um componente importante para determinar a legitimidade de seu uso por agentes não maliciosos, já que algumas versões foram abusadas por agentes de ameaças. Ao direcionar apenas as versões não atuais dos componentes, podemos deixar as versões mais recentes de lado, a versão que os clientes pagantes estão usando”, observou Sinclair.
Vicente Diaz, estrategista de inteligência de ameaças da VirusTotal, disse que as amostras do Cobalt Strike usadas para criar as assinaturas foram coletadas por meio dessa plataforma e explicou o processo de criação e teste das regras de detecção.
As regras finais da YARA estão disponíveis para os clientes do VirusTotal como uma coleção de assinaturas da comunidade e têm código aberto para que os fornecedores de segurança cibernética possam usá-las em seus próprios produtos.
FONTE: HELPNET SECURITY