Bien que Cobalt Strike ait été développé comme un outil de test d’intrusion légitime, le logiciel est généralement utilisé abusivement par les cybercriminels pour pénétrer les réseaux. Les outils préconfigurés de Cobalt Strike sont particulièrement populaires pour accéder à distance aux attaques et aux suppressions de ransomwares.
Google a récemment lancé un ensemble de toutes nouvelles règles YARA open source qui donnent accès à 165 signatures de détection dans différentes versions. de Cobalt Strike. Les signatures scannent jusqu’à 300 binaires Cobalt Strike différents. Les fichiers binaires sont divisés en fichiers JAR, outils de transfert, modèles et balises uniques.
Ensemble, les règles YARA forment une collection VirusTotal qui permet aux spécialistes de la sécurité d’enregistrer et de reconnaître les différents éléments et variations de Cobalt Strike. En fin de compte, la version aide à prévenir les abus de Cobalt Strike à un stade précoce.
Retour aux équipes rouges
Selon Google Cloud, les variantes actuelles et authentiques de Cobalt Strike ne sont pas affectées par les règles de détection . Les règles sont créées pour découvrir les utilisateurs illégitimes de Cobalt Strike.
La publication est l’un des moyens par lesquels l’industrie de la sécurité tente de prendre Cobalt Strike aux cybercriminels et de le remettre entre les mains de véritables groupes rouges.
Toute l’actualité en temps réel, est sur L’Entrepreneur
