Security Report

Cisco veröffentlicht Forschungsbericht zur Malware-Plattform Cobalt Strike

, München, Cisco | Autor: Herbert Wieler

Cisco veröffentlicht Forschungsbericht zur Malware-Plattform Cobalt Strike

Downloads

Cobalt Strike für 66 Prozent aller Ransomware-Angriffe verantwortlich

In diesem Quartal war Cobalt Strike für 66 Prozent aller Ransomware-Angriffe verantwortlich, auf die Cisco Talos Incident Response reagierte. Kein Wunder, dass die Software oft in einem Atemzug mit Cyberangriffen genannt wird. Bei Cobald Strike handelt es sich allerdings nicht nur um eine klassische Malware.

Ursprünglich wurde Cobalt Strike entwickelt, um mögliche Angriffe auf das eigene Netzwerk für Wirtschaftsspionage zu simulieren. Damit wurden Schutzmaßnahmen getestet und damit die Sicherheit erhöht. Indem eine unabhängige Gruppe von Programmierern, das Red Team, als Hacker fungiert, konnte sie mit Hilfe der Software Software Schwachstellen aufdecken. Das fiktive Hackerteam erhält über Cobalt Strike dafür zahlreiche Angriffstools mit flexiblen Funktionen.

Tatsächlich ist diese Software, die es schon lange gibt, für Penetration-Tests jedoch so erfolgreich, dass sie inzwischen auch von vielen echten Cyberkriminellen eingesetzt wird. Neben seinem Funktionsreichtum besitzt Cobalt Strike auch den „Vorteil“, dass es kaum von bestehenden Sicherheitsmaßnahmen erkannt wird. Denn das Tool nutzt ständig aktualisierte Anti-Analysing-Techniken, mit denen die Red Teams fortgeschrittene Angriffe simulieren. Die Sicherheitsexperten von Cisco Talos haben nun aktualisierte Erkennungssignaturen unter den Bedrohungsschutz-Softwares Snort und ClamAV veröffentlicht, um eine Verschleierung und Exfiltration von Daten über Cobalt Strike besser zu erkennen.

Im neuen Forschungsbericht „The Art and Science of Detecting Cobalt Strike “ erörtern und bewerten Experten von Cisco Talos die Herausforderungen und Lösungen für die Entdeckung von Cobalt-Strike-Angriffen. Sie erklären zudem, wie man effektive Snort- und ClamAV-Signaturen erstellt, die wichtige Module von Cobalt Strike abdecken, wie:

  • Raw Shellcode Generator
  • Staged/Stageless Executable Generator
  • HTML Application Attack Generator
  • Scripted Web Delivery
  • Signed Java Applet Attack
  • Smart Java Applet Attack
  • System Profiler

„Der Bericht gibt einen tiefen Einblick in die Angriffsmöglichkeiten mit Cobalt Strike und zeigt, wie Talos-Forscher jedes Modul analysierten“, sagt Holger Unterbrink, Technical Leader bei Cisco Talos Threat Research Group. „Die Forschungen führten zu mehr als 50 Signaturen, die über 400 Cobalt-Strike-Proben abdecken. Das bedeutet zwar nicht, dass Cobalt Strike damit vollständig analysiert und im Griff ist. Aber zumindest können Unternehmen mit den Signaturen und den Hinweisen im Bericht Cobalt Strike besser detektieren, um erfolgreiche Angriffe zu verhindern.“

Den vollständigen Forschungsbericht „The Art and Science of Detecting Cobalt Strike“ können Sie sich hier herunterladen.