Исследователи Unit 42 обнаружили несколько образцов вредоносных программ, включающих компоненты Cobalt Strike, и обсуждают некоторые способы поимки этих образцов путем анализа артефактов дельт в памяти процессов в ключевые моменты выполнения.
Cobalt Strike - яркий пример типа уклоняющихся вредоносных программ, которые на протяжении многих лет были занозой в боку систем обнаружения. Это одна из самых известных систем моделирования противника для операций "красных команд". Однако он не только популярен среди "красных команд", но и используется многими субъектами угроз в злонамеренных целях.
Хотя инструментарий продается только доверенным лицам для проведения реалистичных тестов безопасности, из-за утечек исходного кода его различные компоненты неизбежно попали в арсенал злоумышленников - от групп, занимающихся распространением вымогательского ПО, до государственных структур.
Обзор Cobalt Strike
Основной причиной распространения Cobalt Strike является то, что он очень хорош в своем деле. Он был разработан с нуля, чтобы помочь "красным командам" бронировать свои полезные нагрузки, чтобы опередить поставщиков безопасности, и он регулярно внедряет новые методы уклонения, чтобы попытаться сохранить это преимущество.
Одним из главных преимуществ Cobalt Strike является то, что после выполнения начального загрузчика он работает в основном в памяти. Такая ситуация создает проблему для обнаружения, когда полезная нагрузка статически бронирована, существует только в памяти и отказывается выполняться. Это является проблемой для многих программных продуктов безопасности, поскольку сканирование памяти - дело нелегкое.
Во многих случаях Cobalt Strike является естественным выбором для получения первоначального следа в целевой сети. Угрожающий субъект может использовать конструктор с многочисленными опциями развертывания и обфускации для создания конечной полезной нагрузки на основе настраиваемого шаблона.
Эта полезная нагрузка обычно встраивается в файл-загрузчик в зашифрованном или закодированном виде. Когда файл-загрузчик запускается жертвой, он расшифровывает/декодирует полезную нагрузку в памяти и запускает ее. Поскольку полезная нагрузка присутствует в памяти в своем первоначальном виде, она может быть легко обнаружена благодаря некоторым специфическим характеристикам.
Как исследователи вредоносного ПО, мы часто видим потенциально интересные образцы вредоносных программ, которые оказываются просто загрузчиками для Cobalt Strike. Также часто неясно, был ли загрузчик создан "красной командой" или реальным злоумышленником, что еще больше затрудняет атрибуцию.
KoboldLoader SMB Beacon
Представляет собой 64-битную DLL, имитирующую легитимную библиотеку.
MagnetLoader
Этот образец MagnetLoader пытается выглядеть как файл Windows mscms.dll несколькими способами, используя следующие похожие особенности:
- Такое же описание файла
- Таблица экспорта со многими одинаковыми именами функций
- Почти идентичные ресурсы
- Очень похожий мьютекс
LithiumLoader
Является частью цепочки побочной загрузки DLL, в которой использовался пользовательский установщик для одного из типов программ безопасности. Побочная загрузка DLL - это техника, которая перехватывает легитимное приложение для запуска отдельной вредоносной DLL.
Indicators of Compromise
SHA256
- 062aad51906b7b9f6e8f38feea00ee319de0a542a3902840a7d1ded459b28b8d
- 6c328aa7e0903702358de31a388026652e82920109e7d34bb25acdc88f07a5e0
- 6ffedd98d36f7c16cdab51866093960fe387fe6fd47e4e3848e721fd42e11221
- 7ccf0bbd0350e7dbe91706279d1a7704fe72dcec74257d4dc35852fcc65ba292
- 8129bd45466c2676b248c08bb0efcd9ccc8b684abf3435e290fcf4739c0a439f
- 82dcf67dc5d3960f94c203d4f62a37af7066be6a4851ec2b07528d5f0230a355
- a1239c93d43d657056e60f6694a73d9ae0fb304cb6c1b47ee2b38376ec21c786
- a221c7f70652f4cc2c76c2f475f40e9384a749acd1f0dbaefd1a0c5eb95598d2
- cbaf79fb116bf2e529dd35cf1d396aa44cb6fcfa6d8082356f7d384594155596
- fc4b842b4f6a87df3292e8634eefc935657edf78021b79f9763548c74a4d62b8