fennek11
Goto Top

Cobalt Strike

article-picture
Hallo,

seit einiger Zeit nutzen Hacker Cobalt Strike um Netzwerke auszuspähen und Credentials zu exfiltrieren. Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen.

Eine IT-Sicherheitfirma hat jetzt eine Liste von C2-Servern veröffentlicht, die es erlauben sollte zu prüfen, ob aus dem eigenen Netzwerk Verbindungen zu einem dieser C2-Server aufgebaut wurden. Für 2022 werden ca 5.500 Server gelistet, einige als "trial".

Hier der Blogbeitrag dazu und hier findet ihr die Listen zum Download (github)

Die Liste der Domains bzw der IP-Adressen kann mit wenigen Zeilen Powershell ausgelesen werden:

$File = 'c:\users\[user]\downloads\beacons-2022.jsonl'  
$Cobalt = get-content $File | ConvertFrom-Json

$Cobalt.domains
$Cobalt.collected_from_ip

Möchte jemand berichten, ob das hilfreich ist?

mfg

PS: Es ist schwierig zu unterscheiden, wer Hacker und wer "legitimer Anwender" ist.
PS: Ist es Teil Ihres Sicherheitskonzeptes auf Cobalt Strike zu prüfen?

Content-ID: 2344312014

Url: https://administrator.de/knowledge/cobalt-strike-2344312014.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

NetzwerkDude
NetzwerkDude 31.03.2022 um 09:04:39 Uhr
Goto Top
Gegenfrage: Wie kann man denn auf Cobalt Strike prüfen? So wie ich das bisher verstanden habe nutzen die ja einen HTTPS Tunnel für die C2 Kommunikation d.h. nach was Suche ich im Traffic?
Fennek11
Fennek11 31.03.2022 um 10:05:46 Uhr
Goto Top
Konkret kann ich die Frage nicht beantworten, aber es gab die letzten Monate immer wieder mal Hinweise.

Zum Üben werden hier Beispiele zur Verfügung gestellt:

https[:]//www.malware-traffic-analysis.net/2022/index.html

AFAIK arbeitet Brian Duncan für Paloalto.

Lesenswert sind sicher

https[:]//thedfirreport.com/2021/08/29/cobalt-strike-a-defenders-guide/
https[:]//thedfirreport.com/2022/01/24/cobalt-strike-a-defenders-guide-part-2/

und auch eine Suche nach "Cobalt Strike" auf isc.sans.edu

mfg
NetzwerkDude
NetzwerkDude 31.03.2022 um 12:16:05 Uhr
Goto Top
Danke für die Links, sieht lesenswert aus, werde ich mir morgen mal in Ruhe vornehmen face-smile
Hier noch einer zu dem Thema:
https://underdefense.com/guides/how-to-detect-cobaltstrike-command-contr ...
NetzwerkDude
NetzwerkDude 01.04.2022 um 07:59:38 Uhr
Goto Top
Also vorläufiges Fazit:
Eigentlich kann man wenig machen, wenn man Cobalt Strike gescheit konfiguriert, gibt es kein "Pattern" nach dem man suchen kann

Aber prove me gerne wrong
Fennek11
Fennek11 01.04.2022 um 09:22:56 Uhr
Goto Top
Meine Idee war aus der genannten Github Datenbank die IP-Addressen der C2-Server auszulesen. Sofern die eigene Firewall die IP-Adressen der ausgehenden Verbindungen zumindesten für einige Monate speichert, können die beiden Listen vrglichen werden.

Dies wäre ein inderekter Nachweis eines Cobalt-Strike beacons. Jedenfalls sollte es einfacher sein als die in den Blogs vorgeschlagenen Methoden mit Fourier-Analysen.
NetzwerkDude
NetzwerkDude 01.04.2022 um 09:26:21 Uhr
Goto Top
IPs Sperren ist halt ziemlich langweilig face-smile

Die Analysen des Timings machen aber auch keinen Sinn, denn man kann ja einen beliebig wechselnen Jitter der C2 Kommunikation einstellen und schon isses Hinfällig + da gibts genug Javascript Webseiten die so ähnlich sich aktualisieren d.h. man bekommt ziemlich viel false-postives face-sad
MushyPixie
MushyPixie 06.04.2022, aktualisiert am 07.04.2022 um 06:16:11 Uhr
Goto Top
Cobalt Strike in an adversary simulation tool that can emulate the tactics and techniques of a quiet long-term embedded threat actor in an IT network.


IndigoCard