11 月 22 日消息,Google Cloud Threat Intelligence 團(tuán)隊(duì)近日宣布開源 YARA 規(guī)則和 VirusTotal Collection of indicators of compromise (IOCs) ,幫助企業(yè)抵御 Cobalt Strike 攻擊。
Google Cloud Threat Intelligence 安全工程師格雷格?辛克萊爾(Greg Sinclair)表示:
我們正在向社區(qū)發(fā)布一套開源的 YARA 規(guī)則,并將其整合到 VirusTotal 集合中,幫助社區(qū)標(biāo)記和識(shí)別 Cobalt Strike 的組件及其各自的版本。由于有些版本已經(jīng)被威脅行為者濫用,因此檢測(cè) Cobalt Strike 的確切版本,是確定非惡意行為者使用合法性的一個(gè)重要組成部分。
IT之家了解到,Cobalt Strike 的破解版和泄露版在大多數(shù)情況下至少落后一個(gè)版本,這使得谷歌能夠收集數(shù)百個(gè)被黑客使用的框架、模板和信標(biāo)樣本,以建立具有高度準(zhǔn)確性的基于 YARA 的檢測(cè)規(guī)則。
辛克萊爾補(bǔ)充道:
我們的目標(biāo)是進(jìn)行高保真檢測(cè),以便能夠準(zhǔn)確地確定特定 Cobalt Strike 組件的版本。只要有可能,我們會(huì)建立簽名來檢測(cè) Cobalt Strike 組件的特定版本。
IT之家了解到,Cobalt Strike(由 Fortra 公司開發(fā),曾叫做 Help Systems)是一個(gè)合法的滲透測(cè)試工具,自 2012 年以來一直處于開發(fā)狀態(tài)。它被設(shè)計(jì)為紅色團(tuán)隊(duì)的攻擊框架,用于掃描其組織的基礎(chǔ)設(shè)施,以尋找漏洞和安全漏洞。這導(dǎo)致 Cobalt Strike 成為網(wǎng)絡(luò)攻擊中最常用的工具之一,可能導(dǎo)致數(shù)據(jù)被盜和勒索軟件。
