image

Gezondheidszorg VS gewaarschuwd voor Cobalt Strike, PowerShell en Mimikatz

maandag 10 oktober 2022, 16:34 door Redactie, 3 reacties

Het Amerikaanse ministerie van Volksgezondheid heeft zorginstanties in het land gewaarschuwd voor aanvallen waarbij legitieme tools als Cobalt Strike, PowerShell en Mimikatz worden gebruikt. Verschillende van de tools waarvoor het Office of Information Security en het HHS Health Sector Cybersecurity Coordination Center (HC3) een waarschuwing hebben gegeven kunnen standaard op systemen aanwezig zijn (pdf).

Dat maakt het lastig om misbruik te detecteren. Een oplossing is dan ook niet zo eenvoudig als het installeren van een update of het doorvoeren van een configuratie-aanpassing. In de waarschuwing staan zes tools genoemd die geregeld bij aanvallen zijn ingezet. Het gaat om Cobalt Strike, PowerShell, Mimikatz, Sysinternals, Anydesk en Brute Ratel. Het gaat hierbij om een selectie van veelgebruikte legitieme tools en is geen volledig overzicht, aldus de Amerikaanse overheidsinstanties.

De tools worden onder andere door aanvallers gebruikt om inloggegevens te stelen, verbinding met machines te maken en zich lateraal door netwerken te bewegen. In de waarschuwing laten de Amerikaanse overheidsinstanties zien welke groepen van de genoemde tools bij aanvallen gebruikmaken en hoe die in de loop van de tijd steeds vaker bij aanvallen zijn ingezet. Ook word advies gegeven hoe er met de dreiging van de betreffende tool kan worden omgegaan.

Image

Reacties (3)
10-10-2022, 17:09 door Reinder - Bijgewerkt: 10-10-2022, 17:10
Cobalt Strike, PowerShell en Mimikatz klinken als namen uit een comic. Een overdreven gespierde krachtpatser met een torso zo breed als een boekenkast, gekleed in een strakke zwarte maillot met een zilverkleurige pijl die voordat hij een klap uitdeelt roept "Feel the power of cobalt!". Ze noemen hem the Cobalt Striker, maar in werkelijkheid is het gewoon Colin Baltimore, een briljant doch onbegrepen chemicus die aan geheime expirimenten is blootgesteld door een ongeluk in het labaratorium van Evilcorp Inc. Powershell is een briljante maar aan lager wal geraakte engineer wiens zoon bij een ongeluk in een mijnschacht bedolven raakte onder puin. De mijn was eigendom van Evildig Inc, een subsidiary van Evilcorp, die het ongeval onder het tapijt wilde vegen. De engineer maakte uit onderdelen van bulldozers een mechanisch robot-pak waarmee hij de mijnschacht kon uitgraven. Sindsdien strijdt hij als anti-held tegen Evilcorp Inc en schuwt daarbij geweld niet. Hij is te herkennen aan zijn gele bouwhelm met het logo van een schildpad. De Mimikatz zijn katachtige mensen van de planeet Felinias, want zoals iedereen weet noemen buitenaardse beschavingen hun planeten altijd bij voorkeur naar verbasterde woorden afkomstig uit Aardse talen uit de oudheid. Ze zijn stuk voor stuk bijzonder sexy en voorzien van enorme..eh..zoogdierlijke kenmerken, en gehuld in superstrakke en hoog uitgesneden turnpakjes. Hun belangrijkste doel lijkt te zijn de oplagecijfers verbeteren. Allemaal komen ze geregeld in contact met de duistere vleermuisman, die aan het eind van het verhaal overwint.

Of het zijn gewoon uit de lucht gegrepen termen die bedoeld zijn om de kwetsbaarheid een herkenbaar maar dreigend klinkende naam te geven.
10-10-2022, 18:15 door Anoniem
Gaat het hier jou om gebruik van de tools door derden, of is het gebruik van deze tools binnen je eigen organisatie (voor pentesting) al gevaarlijk?
10-10-2022, 21:42 door Anoniem
Door Anoniem: Gaat het hier jou om gebruik van de tools door derden, of is het gebruik van deze tools binnen je eigen organisatie (voor pentesting) al gevaarlijk?

Alleen gevaarlijk in handen van malafide actoren. De tools worden ook gebruikt voor red-teaming en PowerShell, SysInternals uiteraard ook door IT admins.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.