7
Cobalt Strike
Hallo,
seit einiger Zeit nutzen Hacker Cobalt Strike um Netzwerke auszuspähen und Credentials zu exfiltrieren. Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen.
Eine IT-Sicherheitfirma hat jetzt eine Liste von C2-Servern veröffentlicht, die es erlauben sollte zu prüfen, ob aus dem eigenen Netzwerk Verbindungen zu einem dieser C2-Server aufgebaut wurden. Für 2022 werden ca 5.500 Server gelistet, einige als "trial".
Hier der Blogbeitrag dazu und hier findet ihr die Listen zum Download (github)
Die Liste der Domains bzw der IP-Adressen kann mit wenigen Zeilen Powershell ausgelesen werden:
Möchte jemand berichten, ob das hilfreich ist?
mfg
PS: Es ist schwierig zu unterscheiden, wer Hacker und wer "legitimer Anwender" ist.
PS: Ist es Teil Ihres Sicherheitskonzeptes auf Cobalt Strike zu prüfen?
seit einiger Zeit nutzen Hacker Cobalt Strike um Netzwerke auszuspähen und Credentials zu exfiltrieren. Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen.
Eine IT-Sicherheitfirma hat jetzt eine Liste von C2-Servern veröffentlicht, die es erlauben sollte zu prüfen, ob aus dem eigenen Netzwerk Verbindungen zu einem dieser C2-Server aufgebaut wurden. Für 2022 werden ca 5.500 Server gelistet, einige als "trial".
Hier der Blogbeitrag dazu und hier findet ihr die Listen zum Download (github)
Die Liste der Domains bzw der IP-Adressen kann mit wenigen Zeilen Powershell ausgelesen werden:
$File = 'c:\users\[user]\downloads\beacons-2022.jsonl'
$Cobalt = get-content $File | ConvertFrom-Json
$Cobalt.domains
$Cobalt.collected_from_ipMöchte jemand berichten, ob das hilfreich ist?
mfg
PS: Es ist schwierig zu unterscheiden, wer Hacker und wer "legitimer Anwender" ist.
PS: Ist es Teil Ihres Sicherheitskonzeptes auf Cobalt Strike zu prüfen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2344312014
Url: https://administrator.de/contentid/2344312014
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
7 Kommentare
Neuester Kommentar
Gegenfrage: Wie kann man denn auf Cobalt Strike prüfen? So wie ich das bisher verstanden habe nutzen die ja einen HTTPS Tunnel für die C2 Kommunikation d.h. nach was Suche ich im Traffic?
Konkret kann ich die Frage nicht beantworten, aber es gab die letzten Monate immer wieder mal Hinweise.
Zum Üben werden hier Beispiele zur Verfügung gestellt:
AFAIK arbeitet Brian Duncan für Paloalto.
Lesenswert sind sicher
und auch eine Suche nach "Cobalt Strike" auf isc.sans.edu
mfg
Zum Üben werden hier Beispiele zur Verfügung gestellt:
https[:]//www.malware-traffic-analysis.net/2022/index.htmlAFAIK arbeitet Brian Duncan für Paloalto.
Lesenswert sind sicher
https[:]//thedfirreport.com/2021/08/29/cobalt-strike-a-defenders-guide/
https[:]//thedfirreport.com/2022/01/24/cobalt-strike-a-defenders-guide-part-2/und auch eine Suche nach "Cobalt Strike" auf isc.sans.edu
mfg
Danke für die Links, sieht lesenswert aus, werde ich mir morgen mal in Ruhe vornehmen 
Hier noch einer zu dem Thema:
https://underdefense.com/guides/how-to-detect-cobaltstrike-command-contr ...
Hier noch einer zu dem Thema:
https://underdefense.com/guides/how-to-detect-cobaltstrike-command-contr ...
Also vorläufiges Fazit:
Eigentlich kann man wenig machen, wenn man Cobalt Strike gescheit konfiguriert, gibt es kein "Pattern" nach dem man suchen kann
Aber prove me gerne wrong
Eigentlich kann man wenig machen, wenn man Cobalt Strike gescheit konfiguriert, gibt es kein "Pattern" nach dem man suchen kann
Aber prove me gerne wrong
Meine Idee war aus der genannten Github Datenbank die IP-Addressen der C2-Server auszulesen. Sofern die eigene Firewall die IP-Adressen der ausgehenden Verbindungen zumindesten für einige Monate speichert, können die beiden Listen vrglichen werden.
Dies wäre ein inderekter Nachweis eines Cobalt-Strike beacons. Jedenfalls sollte es einfacher sein als die in den Blogs vorgeschlagenen Methoden mit Fourier-Analysen.
Dies wäre ein inderekter Nachweis eines Cobalt-Strike beacons. Jedenfalls sollte es einfacher sein als die in den Blogs vorgeschlagenen Methoden mit Fourier-Analysen.
IPs Sperren ist halt ziemlich langweilig
Die Analysen des Timings machen aber auch keinen Sinn, denn man kann ja einen beliebig wechselnen Jitter der C2 Kommunikation einstellen und schon isses Hinfällig + da gibts genug Javascript Webseiten die so ähnlich sich aktualisieren d.h. man bekommt ziemlich viel false-postives
Die Analysen des Timings machen aber auch keinen Sinn, denn man kann ja einen beliebig wechselnen Jitter der C2 Kommunikation einstellen und schon isses Hinfällig + da gibts genug Javascript Webseiten die so ähnlich sich aktualisieren d.h. man bekommt ziemlich viel false-postives
Cobalt Strike in an adversary simulation tool that can emulate the tactics and techniques of a quiet long-term embedded threat actor in an IT network.
IndigoCard
IndigoCard
