Легитимный коммерческий фреймворк Cobalt Strike, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию, давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. И хотя он недоступен для рядовых пользователей и полная версия оценивается примерно в 3500 долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
Эксперты Cisco Talos рассказывают, что во втором квартале текущего года фреймворк использовался в 66% вымогательских атак. Аналитики пишут, что инструмент ценится ИБ-специалистами и преступниками в первую очередь за возможность развертывать в сетях жертв listeners. Они используются для мониторинга того, как зараженные узлы взаимодействуют с управляющими серверами для получения пейлоадов и дальнейших команд от злоумышленников.
«Сила Cobalt Strike заключается в том, что он предлагает множество ответов на сложные вопросы, которые могут возникнуть у злоумышленника. Развернуть listeners и beacons? Без проблем. Нужен шелл-код? Легко. Необходимо создавать поэтапные/бесэтапные исполняемые файлы? Готово. Учитывая универсальность Cobalt Strike, его популярность неудивительна. Злоумышленники все больше полагаются в работе на Cobalt Strike, а не на массовое вредоносное ПО», — говорят исследователи Cisco Talos.
В своем отчете эксперты пишут, что проанализировали структуру атак с использованием фреймворка Cobalt Strike и разработали около 50 сигнатур для Snort и опенсорсного антивирусного движка ClamAV.