Cobalt Strike
Qu'est-ce que Cobalt Strike ?
Cobalt StrikePlateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control.
Cobalt Strike est un outil commercial d'emulation de menace cree a l'origine par Raphael Mudge et aujourd'hui commercialise par Fortra. Il fournit un team server, l'implant Beacon, des profils C2 malleables et un outillage de phishing, deplacement lateral, pivotage et escalade de privileges, permettant a une red team de simuler de facon credible des intrusions sophistiquees. Des versions crackees ou divulguees ont ete massivement adoptees par les affilies ransomware et acteurs etatiques, faisant de cet outil l'un des frameworks offensifs les plus observes dans les incidents reels. Les defenseurs profilent son trafic Beacon, son jitter et ses named pipes via EDR, analyse reseau et regles YARA. Son usage legal exige une licence payante et un mandat d'engagement.
● Exemples
- 01
Une red team execute un profil C2 malleable imitant un serveur de mise a jour Microsoft.
- 02
Un responder pivote sur le named pipe du Beacon pour identifier les hotes compromis.
● Questions fréquentes
Qu'est-ce que Cobalt Strike ?
Plateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Cobalt Strike ?
Plateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control.
Comment fonctionne Cobalt Strike ?
Cobalt Strike est un outil commercial d'emulation de menace cree a l'origine par Raphael Mudge et aujourd'hui commercialise par Fortra. Il fournit un team server, l'implant Beacon, des profils C2 malleables et un outillage de phishing, deplacement lateral, pivotage et escalade de privileges, permettant a une red team de simuler de facon credible des intrusions sophistiquees. Des versions crackees ou divulguees ont ete massivement adoptees par les affilies ransomware et acteurs etatiques, faisant de cet outil l'un des frameworks offensifs les plus observes dans les incidents reels. Les defenseurs profilent son trafic Beacon, son jitter et ses named pipes via EDR, analyse reseau et regles YARA. Son usage legal exige une licence payante et un mandat d'engagement.
Comment se défendre contre Cobalt Strike ?
Les défenses contre Cobalt Strike combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Cobalt Strike ?
Noms alternatifs courants : Cobalt Strike Beacon, CS.
● Termes liés
- malware№ 201
Commande et contrôle (C2)
Infrastructure et canaux qu'un attaquant utilise pour maintenir la communication avec les systèmes compromis et leur transmettre des instructions.
- defense-ops№ 909
Red Team
Équipe de sécurité offensive qui émule des adversaires réels de bout en bout pour mesurer la capacité de l'organisation à détecter, contenir et répondre aux attaques.
- defense-ops№ 674
Metasploit
Framework d'exploitation open source qui regroupe exploits, charges utiles et modules de post-exploitation dans une plateforme unique pour les pentesteurs et chercheurs.
- defense-ops№ 606
Mouvement latéral
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
- cryptography№ 846
Cryptographie post-quantique
Algorithmes cryptographiques classiques conçus pour rester sûrs face aux attaques d'ordinateurs classiques comme d'ordinateurs quantiques à grande échelle.
- malware№ 902
Ransomware-as-a-Service (RaaS)
Modèle économique criminel dans lequel les opérateurs de rançongiciel louent leur malware et leur infrastructure à des affiliés qui mènent les attaques et partagent les gains.
● Voir aussi
- № 1070SolarWinds Sunburst
- № 887QakBot / QBot
- № 507IcedID / BokBot
- № 146Carbanak
- № 656Rancongiciel Maze
- № 954Rancongiciel Ryuk