11 月 22 日消息，Google Cloud Threat Intelligence 團(tuán)隊(duì)近日宣布開源 YARA 規(guī)則和 VirusTotal Collection of indicators of compromise (IOCs) ，幫助企業(yè)抵御 Cobalt Strike 攻擊。

Google Cloud Threat Intelligence 安全工程師格雷格?辛克萊爾(Greg Sinclair)表示：

我們正在向社區(qū)發(fā)布一套開源的 YARA 規(guī)則，并將其整合到 VirusTotal 集合中，幫助社區(qū)標(biāo)記和識別 Cobalt Strike 的組件及其各自的版本。由于有些版本已經(jīng)被威脅行為者濫用，因此檢測 Cobalt Strike 的確切版本，是確定非惡意行為者使用合法性的一個(gè)重要組成部分。

IT之家了解到，Cobalt Strike 的破解版和泄露版在大多數(shù)情況下至少落后一個(gè)版本，這使得谷歌能夠收集數(shù)百個(gè)被黑客使用的框架、模板和信標(biāo)樣本，以建立具有高度準(zhǔn)確性的基于 YARA 的檢測規(guī)則。

辛克萊爾補(bǔ)充道：

我們的目標(biāo)是進(jìn)行高保真檢測，以便能夠準(zhǔn)確地確定特定 Cobalt Strike 組件的版本。只要有可能，我們會(huì)建立簽名來檢測 Cobalt Strike 組件的特定版本。

IT之家了解到，Cobalt Strike(由 Fortra 公司開發(fā)，曾叫做 Help Systems)是一個(gè)合法的滲透測試工具，自 2012 年以來一直處于開發(fā)狀態(tài)。它被設(shè)計(jì)為紅色團(tuán)隊(duì)的攻擊框架，用于掃描其組織的基礎(chǔ)設(shè)施，以尋找漏洞和安全漏洞。這導(dǎo)致 Cobalt Strike 成為網(wǎng)絡(luò)攻擊中最常用的工具之一，可能導(dǎo)致數(shù)據(jù)被盜和勒索軟件。

關(guān)鍵詞： 谷歌 企業(yè)