Cobalt Strike

Hallo,

seit einiger Zeit nutzen Hacker Cobalt Strike um Netzwerke auszuspähen und Credentials zu exfiltrieren. Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen.

Eine IT-Sicherheitfirma hat jetzt eine Liste von C2-Servern veröffentlicht, die es erlauben sollte zu prüfen, ob aus dem eigenen Netzwerk Verbindungen zu einem dieser C2-Server aufgebaut wurden. Für 2022 werden ca 5.500 Server gelistet, einige als "trial".

Hier der Blogbeitrag dazu und hier findet ihr die Listen zum Download (github)

Die Liste der Domains bzw der IP-Adressen kann mit wenigen Zeilen Powershell ausgelesen werden:

$File = 'c:\users\[user]\downloads\beacons-2022.jsonl'  
$Cobalt = get-content $File | ConvertFrom-Json

$Cobalt.domains
$Cobalt.collected_from_ip

Möchte jemand berichten, ob das hilfreich ist?

mfg

PS: Es ist schwierig zu unterscheiden, wer Hacker und wer "legitimer Anwender" ist.
PS: Ist es Teil Ihres Sicherheitskonzeptes auf Cobalt Strike zu prüfen?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-Key: 2344312014

Url: https://administrator.de/contentid/2344312014

Ausgedruckt am: 24.04.2024 um 20:04 Uhr

7 Kommentare

Neuester Kommentar

Gegenfrage: Wie kann man denn auf Cobalt Strike prüfen? So wie ich das bisher verstanden habe nutzen die ja einen HTTPS Tunnel für die C2 Kommunikation d.h. nach was Suche ich im Traffic?

Konkret kann ich die Frage nicht beantworten, aber es gab die letzten Monate immer wieder mal Hinweise.

Zum Üben werden hier Beispiele zur Verfügung gestellt:

https[:]//www.malware-traffic-analysis.net/2022/index.html

AFAIK arbeitet Brian Duncan für Paloalto.

Lesenswert sind sicher

https[:]//thedfirreport.com/2021/08/29/cobalt-strike-a-defenders-guide/
https[:]//thedfirreport.com/2022/01/24/cobalt-strike-a-defenders-guide-part-2/

und auch eine Suche nach "Cobalt Strike" auf isc.sans.edu

mfg

Danke für die Links, sieht lesenswert aus, werde ich mir morgen mal in Ruhe vornehmen

Hier noch einer zu dem Thema:
https://underdefense.com/guides/how-to-detect-cobaltstrike-command-contr ...

Also vorläufiges Fazit:
Eigentlich kann man wenig machen, wenn man Cobalt Strike gescheit konfiguriert, gibt es kein "Pattern" nach dem man suchen kann

Aber prove me gerne wrong

Meine Idee war aus der genannten Github Datenbank die IP-Addressen der C2-Server auszulesen. Sofern die eigene Firewall die IP-Adressen der ausgehenden Verbindungen zumindesten für einige Monate speichert, können die beiden Listen vrglichen werden.

Dies wäre ein inderekter Nachweis eines Cobalt-Strike beacons. Jedenfalls sollte es einfacher sein als die in den Blogs vorgeschlagenen Methoden mit Fourier-Analysen.

IPs Sperren ist halt ziemlich langweilig

Die Analysen des Timings machen aber auch keinen Sinn, denn man kann ja einen beliebig wechselnen Jitter der C2 Kommunikation einstellen und schon isses Hinfällig + da gibts genug Javascript Webseiten die so ähnlich sich aktualisieren d.h. man bekommt ziemlich viel false-postives

Cobalt Strike in an adversary simulation tool that can emulate the tactics and techniques of a quiet long-term embedded threat actor in an IT network.

IndigoCard

Information Erkennung, Abwehr Sicherheit

Mehr von Fennek11

Freitagsfrage: Shim-Cache AnalyseFennek11 - 2 Kommentare

Liste von URLs in wininet.dllFennek11 - 13 Kommentare

Gut und Böse: FingerprintFennek11

Malware Emotet auf "Parked Domain"?Fennek11

Heiß diskutiert