Cobalt Strike
Что такое Cobalt Strike?
Cobalt StrikeКоммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами.
Cobalt Strike — это коммерческий инструмент эмуляции угроз, изначально созданный Raphael Mudge и сейчас продаваемый компанией Fortra. Он включает Team Server, имплант Beacon, профили malleable C2, средства для фишинга, латерального перемещения, пивотирования и эскалации привилегий, что позволяет red team правдоподобно имитировать сложные вторжения. Взломанные и утекшие версии активно используются партнёрами вымогательских группировок и государственными акторами, поэтому Cobalt Strike — один из самых часто фиксируемых наступательных фреймворков в реальных инцидентах. Защитники профилируют трафик Beacon, паттерны джиттера и именованные каналы с помощью EDR, сетевой аналитики и правил YARA. Законное применение требует платной лицензии и письменного разрешения заказчика.
● Примеры
- 01
Red team запускает malleable C2 профиль, маскирующийся под сервер обновлений Microsoft.
- 02
Респондер пивотирует по именованному каналу Beacon для поиска заражённых узлов.
● Частые вопросы
Что такое Cobalt Strike?
Коммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами. Относится к категории Защита и операции в кибербезопасности.
Что означает Cobalt Strike?
Коммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами.
Как работает Cobalt Strike?
Cobalt Strike — это коммерческий инструмент эмуляции угроз, изначально созданный Raphael Mudge и сейчас продаваемый компанией Fortra. Он включает Team Server, имплант Beacon, профили malleable C2, средства для фишинга, латерального перемещения, пивотирования и эскалации привилегий, что позволяет red team правдоподобно имитировать сложные вторжения. Взломанные и утекшие версии активно используются партнёрами вымогательских группировок и государственными акторами, поэтому Cobalt Strike — один из самых часто фиксируемых наступательных фреймворков в реальных инцидентах. Защитники профилируют трафик Beacon, паттерны джиттера и именованные каналы с помощью EDR, сетевой аналитики и правил YARA. Законное применение требует платной лицензии и письменного разрешения заказчика.
Как защититься от Cobalt Strike?
Защита от Cobalt Strike обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Cobalt Strike?
Распространённые альтернативные названия: Cobalt Strike Beacon, CS.
● Связанные термины
- malware№ 201
Командно-контрольная инфраструктура (C2)
Инфраструктура и каналы, через которые злоумышленник поддерживает связь со скомпрометированными системами и передаёт им команды.
- defense-ops№ 909
Red Team
Наступательная команда безопасности, имитирующая реальных противников полного цикла, чтобы оценить, как организация обнаруживает, сдерживает и реагирует на атаки.
- defense-ops№ 674
Metasploit
Открытый фреймворк для эксплуатации уязвимостей, объединяющий эксплойты, полезные нагрузки и пост-эксплуатационные модули в единой платформе для пентестеров и исследователей.
- defense-ops№ 606
Латеральное перемещение (Lateral Movement)
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
- cryptography№ 846
Постквантовая криптография
Классические криптографические алгоритмы, спроектированные так, чтобы оставаться стойкими к атакам как классических, так и крупномасштабных квантовых компьютеров.
- malware№ 902
Ransomware-as-a-Service (RaaS)
Криминальная бизнес-модель, в которой операторы шифровальщика сдают своё ВПО и инфраструктуру в аренду партнёрам, выполняющим атаки и делящимся прибылью.
● См. также
- № 1070SolarWinds Sunburst
- № 887QakBot / QBot
- № 507IcedID / BokBot
- № 146Carbanak
- № 656Вымогатель Maze
- № 954Вымогатель Ryuk