СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
12.11.2020
#Dev#ИБ#Инфра

В открытом доступе опубликовали предполагаемый исходный код инструментария Cobalt Strike

В открытом доступе опубликовали предполагаемый исходный код инструментария Cobalt Strike

Исходный код популярного и активно используемого набора инструментов для постэксплуатации Cobalt Strike предположительно просочился в открытый доступ в репозитории GitHub.

Cobalt Strike – легитимный набор инструментов для тестирования на проникновение, позволяющий доставить на атакуемую систему полезную нагрузку и управлять ею, выполнять сценарии PowerShell, осуществлять эскалацию привилегий. Инструмент пользуется большой популярностью среди киберпреступников, которые применяют взломанные версии для получения постоянного удаленного доступа к скомпрометированной системе. Cobalt Strike часто применяется при проведении атак программ-вымогателей.

Около двух недель назад на GitHub был создан репозиторий, являющийся, с высокой долей вероятности, исходным кодом Cobalt Strike 4.0:

Виталий Кремез из компании Advanced Intel, который изучил исходный код, отметил, что код Java, по его мнению, был декомплирован вручную, после чего были исправлены все зависимости и удалена проверка лицензии, чтобы ее можно было скомпилировать. С момента публикации репозиторий был разветвлен 172 раза, что сделало практически невозможным реализацию процесса сдерживания распространения исходного кода.

Виталий Кремез прокомментировал случившееся: «Вероятное раскрытие повторно скомпилированного исходного кода Cobalt Strike 4.0 2019 года имеет значительные последствия для всех специалистов по кибербезопасности, потому что теперь устраняются барьеры на пути к получению инструментов. Хакерские группы могут изменять код, если необходимо, буквально «на лету».

ИБ-эксперт из компании Advanced Intel также заметил, что утечка Cobalt Strike открывает дверь для возможностей дополнительной модернизации этого инструмента киберпреступниками, как это происходило со многими утечками вредоносного инструментария. Например, как в случае с Zeus 2.0.8.9.

Cobalt Strike считается одним из лучших фреймворков для эксплуатации и постэксплуатации. В качестве пейлоада применяется beacon, у которого есть возможности фриза и обфускации для обхода антивирусного ПО. Есть поддержка миграции в процессы. Часто используется в качестве сервера С2. Cobalt Strike является коммерческим продуктом. Предоставляется пробный период на 21 день, но инструментарий имеет серьезные ограничения.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: