Cobalt Strike
Cobalt Strike とは何ですか?
Cobalt Strike商用の敵対者シミュレーション プラットフォームで、レッドチーム業務に広く用いられる一方、攻撃者によりポストエクスプロイトや C2 に頻繁に悪用される。
Cobalt Strike は Raphael Mudge が最初に開発し、現在は Fortra が販売している商用脅威エミュレーション ツールです。Team Server、Beacon インプラント、Malleable C2 プロファイル、フィッシング、横展開、ピボット、権限昇格用ツール群を提供し、レッドチームが高度な侵入を信頼性高く再現できるようにします。クラック版および流出版がランサムウェア アフィリエイトや国家アクターに広く採用されており、実際の侵害で最も観測される攻撃フレームワークの一つです。防御側は EDR、ネットワーク分析、YARA ルールで Beacon 通信、ジッター、名前付きパイプを特徴化します。合法的利用にはライセンス購入と契約に基づく許可が必要です。
● 例
- 01
レッドチームが Microsoft 更新サーバーを模した Malleable C2 プロファイルを使用する。
- 02
インシデント レスポンダーが Beacon の名前付きパイプから感染ホストを特定する。
● よくある質問
Cobalt Strike とは何ですか?
商用の敵対者シミュレーション プラットフォームで、レッドチーム業務に広く用いられる一方、攻撃者によりポストエクスプロイトや C2 に頻繁に悪用される。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Cobalt Strike とはどういう意味ですか?
商用の敵対者シミュレーション プラットフォームで、レッドチーム業務に広く用いられる一方、攻撃者によりポストエクスプロイトや C2 に頻繁に悪用される。
Cobalt Strike はどのように機能しますか?
Cobalt Strike は Raphael Mudge が最初に開発し、現在は Fortra が販売している商用脅威エミュレーション ツールです。Team Server、Beacon インプラント、Malleable C2 プロファイル、フィッシング、横展開、ピボット、権限昇格用ツール群を提供し、レッドチームが高度な侵入を信頼性高く再現できるようにします。クラック版および流出版がランサムウェア アフィリエイトや国家アクターに広く採用されており、実際の侵害で最も観測される攻撃フレームワークの一つです。防御側は EDR、ネットワーク分析、YARA ルールで Beacon 通信、ジッター、名前付きパイプを特徴化します。合法的利用にはライセンス購入と契約に基づく許可が必要です。
Cobalt Strike からどのように防御しますか?
Cobalt Strike に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Cobalt Strike の別名は何ですか?
一般的な別名: Cobalt Strike Beacon, CS。
● 関連用語
- malware№ 201
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
- defense-ops№ 909
レッドチーム
実際の攻撃者をエンドツーエンドで模倣し、組織がどれだけ攻撃を検知・封じ込め・対応できるかを評価する攻撃側セキュリティチーム。
- defense-ops№ 674
Metasploit
エクスプロイト、ペイロード、ポストエクスプロイト モジュールを単一のプラットフォームに統合した、ペネトレーションテスト担当者と研究者向けのオープンソース攻撃フレームワーク。
- defense-ops№ 606
横展開(Lateral Movement)
侵害したホストから環境内の他システムへと攻撃者が横移動するための手法をまとめた MITRE ATT&CK 戦術(TA0008)。
- cryptography№ 846
耐量子暗号
古典計算機と大規模量子計算機の両方からの攻撃に耐えるよう設計された古典的な暗号アルゴリズム群。
- malware№ 902
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアの開発・運営チームがマルウェアとインフラを攻撃実行役のアフィリエイトに貸し出し、身代金を分配する犯罪ビジネスモデル。
● 関連項目
- № 1070SolarWinds Sunburst
- № 887QakBot / QBot
- № 507IcedID / BokBot
- № 146Carbanak
- № 656Maze ランサムウェア
- № 954Ryuk ランサムウェア