Yazılım açıklarını tespit etmek için popüler bir red-team aracı olan Cobalt Strike, siber saldırganlar tarafından o kadar sık kullanıldı ki, yayıncı Fortra potansiyel alıcıları incelemek için bir sistem kurdu. Buna karşılık, kötü niyetli aktörler, diğer herhangi bir bilgisayar korsanı aracı gibi çevrimiçi olarak dağıtılan yazılımın kırık sürümlerini kullanmaya yöneldiler. Google’ın Bulut Güvenliği ekibi artık bu gölgeli kullanımlara karşı koymanın ve meşru kullanımlara müdahale etmemenin bir yolunu buldu: sürüm algılama.
Tehdit aktörleri korsanlık yoluyla Cobalt Strike’a kolayca erişebilir, ancak bu meşru olmayan sürümler genellikle güncellenemez, yazdı Google’da bulut tehdit istihbaratı güvenlik mühendisi Greg Sinclair. Bu, Google araştırmacılarına, kullanılan yazılımın sürümünü tanımlayarak ve mevcut sürümden önceki her şeyi işaretleyerek potansiyel olarak kötü amaçlı kullanımı tespit etme yolu sağlar.
Google araştırmacıları, sürümü belirlemek için son 10 yıldaki Cobalt Strike JAR dosyalarını analiz etti ve çeşitli bileşenler için toplam 165 imza oluşturdu. Ardından ekip, imzaları bir VirusTotal koleksiyonunda bir araya getirdi ve onları serbest bıraktı GitHub’da açık kaynak YARA kuralları olarak.
Sinclair, “Birçok tehdit aktörü, siber saldırılarını ilerletmek için Cobalt Strike’ın kırık sürümlerine güvendiğinden, kullanımını kesintiye uğratarak dünya genelinde kuruluşları, çalışanlarını ve müşterilerini korumaya yardımcı olabileceğimizi umuyoruz” diye yazdı.
Kasım ayının başlarında Google Cloud Threat Intelligence, GitHub’da benzer bir şerit algılamak için imzalarUyku Bilgisayarı olarak işaret etti. Komuta ve kontrol çerçevesi, bazı tehdit aktörleri tarafından tercih edilen güvenlik aracı olarak Cobalt Strike’ın yerini alıyor.