Google lanza 165 reglas YARA para detectar ataques de Cobalt Strike

Grandoreiro_Malware

El equipo de Google Cloud Threat Intelligence tiene reglas YARA de código abierto y una colección VirusTotal de indicadores de compromiso (IOC) para ayudar a los defensores a detectar componentes de Cobalt Strike en sus redes.

Los equipos de seguridad también podrán identificar las versiones de Cobalt Strike implementadas en su entorno utilizando estas firmas de detección.

“Estamos lanzando a la comunidad un conjunto de  reglas YARA de código abierto  y su integración como una  colección de VirusTotal  para ayudar a la comunidad a marcar e identificar los componentes de Cobalt Strike y sus respectivas versiones”, dijo Greg Sinclair, ingeniero de seguridad de Google Cloud Threat Intelligence.

“Decidimos que detectar la versión exacta de Cobalt Strike era un componente importante para determinar la legitimidad de su uso por parte de actores no maliciosos, ya que los actores de amenazas han abusado de algunas versiones”.

Esto permite una mejor detección de actividad maliciosa al enfocarse en versiones no actuales de Cobalt Strike (versiones potencialmente filtradas y descifradas), ya que ayuda a diferenciar más fácilmente entre implementaciones legítimas y aquellas controladas por actores de amenazas.

Como explicó Google, las versiones descifradas y filtradas de Cobalt Strike son, en la mayoría de los casos, al menos una versión anterior, lo que permitió a la compañía recopilar cientos de muestras de escenarios, plantillas y balizas utilizadas en la naturaleza para construir reglas de detección basadas en YARA con un alto grado de precisión.

“Nuestro objetivo era realizar detecciones de alta fidelidad para permitir identificar la versión exacta de componentes particulares de Cobalt Strike. Siempre que fue posible, construimos firmas para detectar versiones específicas del componente Cobalt Strike”,  agregó Sinclair .

Google también ha compartido una colección de firmas de detección para Sliver, un marco de emulación de adversario legítimo y de código abierto diseñado para pruebas de seguridad que también ha sido adoptado por actores malintencionados como una  alternativa de Cobalt Strike .

Configuración de la infraestructura de Cobalt Strike

​Cobalt Strike  (fabricado por Fortra, anteriormente conocido como Help Systems) es una herramienta de prueba de penetración legítima en desarrollo desde 2012. Ha sido diseñada como un marco de ataque para equipos rojos que escanean la infraestructura de sus organizaciones para encontrar vulnerabilidades y brechas de seguridad.

Si bien el desarrollador intenta investigar a los clientes y solo venderá licencias para usos legítimos, los actores de amenazas también han obtenido y compartido copias descifradas de Cobalt Strike a lo largo del tiempo.

Esto ha llevado a Cobalt Strike a convertirse en una de las herramientas más comunes utilizadas en los ataques cibernéticos que podrían conducir al robo de datos y al ransomware. 

En tales ataques, los actores de amenazas lo utilizan para tareas posteriores a la explotación después de implementar las llamadas balizas que les brindan acceso remoto persistente a los dispositivos comprometidos. 

Con la ayuda de balizas desplegadas en las redes de las víctimas, los atacantes pueden acceder a servidores comprometidos para recopilar datos confidenciales o implementar más cargas útiles de malware.

Los investigadores de la firma de seguridad Intezer también  revelaron  que los actores de amenazas también han desarrollado y han estado usando (desde agosto de 2021) su propia baliza de Linux (Vermilion Strike), compatible con Cobalt Strike, para obtener persistencia y ejecución remota de comandos en dispositivos Windows y Linux.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.