Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/google-releases-165-yara-rules-to-detect-cobalt-strike-attacks/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #google #lança #165 #regras #yara #para #detectar #ataques #cobalt #strike
A equipe do Google Cloud Threat Intelligence tem regras YARA de código aberto e uma coleção VirusTotal de indicadores de comprometimento (IOCs) para ajudar os defensores a detectar componentes do Cobalt Strike em suas redes.
As equipes de segurança também poderão identificar as versões do Cobalt Strike implantadas em seu ambiente usando essas assinaturas de detecção.
"Estamos lançando para a comunidade um conjunto de regras YARA de código aberto e sua integração como uma coleção VirusTotal para ajudar a comunidade a sinalizar e identificar os componentes do Cobalt Strike e suas respectivas versões", disse o engenheiro de segurança do Google Cloud Threat Intelligence, Greg Sinclair.
“Decidimos que detectar a versão exata do Cobalt Strike era um componente importante para determinar a legitimidade de seu uso por agentes não maliciosos, já que algumas versões foram abusadas por agentes de ameaças”.
Isso permite uma detecção aprimorada de atividades maliciosas, visando versões não atuais do Cobalt Strike (versões potencialmente vazadas e quebradas), pois ajuda a diferenciar mais facilmente entre implantações legítimas e aquelas controladas por agentes de ameaças.
Como o Google explicou, as versões quebradas e vazadas do Cobalt Strike estão, na maioria dos casos, pelo menos uma versão atrasada, o que permitiu à empresa coletar centenas de stagers, modelos e amostras de beacon usadas na natureza para criar regras de detecção baseadas em YARA com um alto grau de precisão.
"Nosso objetivo era fazer detecções de alta fidelidade para permitir identificar a versão exata de determinados componentes do Cobalt Strike. Sempre que possível, criamos assinaturas para detectar versões específicas do componente Cobalt Strike", acrescentou Sinclair.
O Google também compartilhou uma coleção de assinaturas de detecção para o Sliver, uma estrutura de emulação de adversário legítima e de código aberto projetada para testes de segurança que também foi adotada por agentes mal-intencionados como uma alternativa do Cobalt Strike.
Configuração da infraestrutura do Cobalt Strike (Google)
O Cobalt Strike (feito pela Fortra, anteriormente conhecido como Help Systems) é uma ferramenta legítima de teste de penetração em desenvolvimento desde 2012. Ele foi projetado como uma estrutura de ataque para equipes vermelhas que examinam a infraestrutura de suas organizações para encontrar vulnerabilidades e falhas de segurança.
Enquanto o desenvolvedor está tentando examinar os clientes e só venderá licenças para usos legítimos, cópias quebradas do Cobalt Strike também foram obtidas e compartilhadas por agentes de ameaças ao longo do tempo.
Isso levou o Cobalt Strike a se tornar uma das ferramentas mais comuns usadas em ataques cibernéticos que podem levar ao roubo de dados e ransomware.
Em tais ataques, ele é usado por agentes de ameaças para tarefas pós-exploração após a implantação dos chamados beacons que fornecem acesso remoto persistente a dispositivos comprometidos.
Com a ajuda de beacons implantados nas redes das vítimas, os invasores podem acessar servidores comprometidos para coletar dados confidenciais ou implantar cargas de malware adicionais.
Pesquisadores da empresa de segurança Intezer também revelaram que os invasores também desenvolveram e usam (desde agosto de 2021) seu próprio beacon Linux (Vermilion Strike), compatível com Cobalt Strike, para obter persistência e execução remota de comandos em dispositivos Windows e Linux .
Postar um comentário