11 月 22 日消息,Google Cloud Threat Intelligence 團隊近日宣布開源 YARA 規則和 VirusTotal Collection of indicators of compromise (IOCs) ,幫助企業抵御 Cobalt Strike 攻擊。
Google Cloud Threat Intelligence 安全工程師格雷格?辛克萊爾(Greg Sinclair)表示:
我們正在向社區發布一套開源的 YARA 規則,并將其整合到 VirusTotal 集合中,幫助社區標記和識別 Cobalt Strike 的組件及其各自的版本。由于有些版本已經被威脅行為者濫用,因此檢測 Cobalt Strike 的確切版本,是確定非惡意行為者使用合法性的一個重要組成部分。
IT之家了解到,Cobalt Strike 的破解版和泄露版在大多數情況下至少落后一個版本,這使得谷歌能夠收集數百個被黑客使用的框架、模板和信標樣本,以建立具有高度準確性的基于 YARA 的檢測規則。
辛克萊爾補充道:
我們的目標是進行高保真檢測,以便能夠準確地確定特定 Cobalt Strike 組件的版本。只要有可能,我們會建立簽名來檢測 Cobalt Strike 組件的特定版本。
IT之家了解到,Cobalt Strike(由 Fortra 公司開發,曾叫做 Help Systems)是一個合法的滲透測試工具,自 2012 年以來一直處于開發狀態。它被設計為紅色團隊的攻擊框架,用于掃描其組織的基礎設施,以尋找漏洞和安全漏洞。這導致 Cobalt Strike 成為網絡攻擊中最常用的工具之一,可能導致數據被盜和勒索軟件。
