image

Google publiceert YARA-rules voor detectie gekraakte versies Cobalt Strike

maandag 21 november 2022, 13:36 door Redactie, 5 reacties

Google heeft open source YARA-rules gepubliceerd voor de detectie van gelekte en gekraakte versie van Cobalt Strike. Het techbedrijf wil hiermee naar eigen zeggen misbruik van de software lastiger maken. Cobalt Strike is software ontwikkeld voor het uitvoeren van penetratietests. Via de software is het mogelijk om een besmet systeem op afstand opdrachten te geven.

Cobalt Strike is een legitiem product waarvoor gebruikers moeten betalen. Een enkele licentie kost 5900 dollar per jaar. Daarnaast ondergaan kopers eerst een screening. Er zijn echter allerlei gelekte en gekraakte versies van de software in omloop die bij daadwerkelijke aanvallen worden ingezet. Cobalt Strike wordt zo vaak bij aanvallen aangetroffen dat het Amerikaanse ministerie van Volksgezondheid hier onlangs nog een waarschuwing voor gaf.

Onderzoekers van Google ontdekten dat de gebruikte versie van Cobalt Strike een belangrijk kenmerk is om te bepalen of het om legitiem gebruik gaat of niet. De gelekte en gekraakte versies die bij aanvallen worden ingezet zijn namelijk niet de meest recente versie, maar lopen meestal één versie achter. Deze versie-informatie is te gebruiken om malafide gebruik van de tool via YARA te detecteren.

YARA is een op regels gebaseerde tool voor het detecteren van malware. De tool is ontwikkeld door Victor Alvarez van VirusTotal, de online virusscandienst van Google. Allerlei security- en antivirusbedrijven maken er gebruik van voor detectie en classificatie van malware. Google heeft nu aparte YARA-rules ontwikkeld voor de detectie van gelekte en gekraakte Cobalt Strike-versies.

Daarnaast zijn er ook signatures van deze versies gemaakt die als "community signatures" via VirusTotal worden aangeboden. Tevens zijn deze signatures beschikbaar voor partijen die ze binnen hun eigen producten willen gebruiken. Dit moet misbruik van Cobalt Strike lastiger maken, aldus Google.

Reacties (5)
21-11-2022, 14:35 door johanw
Dus als ik een gekraakte versie op mijn eigen systeem wil gebruiken heb ik kans dat de virusscanner het gaat blokkeren? Net als met cracks voor allerlei software en zelfs Android apps als Lucky Patcher.

Virusscanners worden zo steeds meer een tool die tegen de belangen van de gebruiker ingaat.
21-11-2022, 15:02 door Anoniem
Lijken me gewoon algemene CobaltStrike rules. En dus niet rules voor specifiek gekraakte versies.

Zeker niet slecht om op een bedrijfsnetwerk in te stellen.
21-11-2022, 15:49 door Anoniem
Door johanw: Dus als ik een gekraakte versie op mijn eigen systeem wil gebruiken heb ik kans dat de virusscanner het gaat blokkeren? Net als met cracks voor allerlei software en zelfs Android apps als Lucky Patcher.

Virusscanners worden zo steeds meer een tool die tegen de belangen van de gebruiker ingaat.

Volgens mij zit u al fout bij het gebruiken van een gekraakte versie, en niet bij het punt dat uw virusscanner tegen uw belangen in gaat... maar kan me vergissen.
21-11-2022, 15:50 door Anoniem
Door johanw: Dus als ik een gekraakte versie op mijn eigen systeem wil gebruiken heb ik kans dat de virusscanner het gaat blokkeren? Net als met cracks voor allerlei software en zelfs Android apps als Lucky Patcher.

Virusscanners worden zo steeds meer een tool die tegen de belangen van de gebruiker ingaat.

Niemand die virusscanners ontwikkeld hoeft rekening te houden met mensen die een illigale versie of bekende hack willen gerbuiken, en als je dat wel wil zet je hem toch in je virusscanner ignore. Of je virusscanner uitzetten. Of een VM zonder virus scanner. Of linux.

Er is genoeg te klagen maar dit is echt een non-issue
21-11-2022, 17:59 door Anoniem
Door Anoniem:
Door johanw: Dus als ik een gekraakte versie op mijn eigen systeem wil gebruiken heb ik kans dat de virusscanner het gaat blokkeren? Net als met cracks voor allerlei software en zelfs Android apps als Lucky Patcher.

Virusscanners worden zo steeds meer een tool die tegen de belangen van de gebruiker ingaat.

Niemand die virusscanners ontwikkeld hoeft rekening te houden met mensen die een illigale versie of bekende hack willen gerbuiken, en als je dat wel wil zet je hem toch in je virusscanner ignore. Of je virusscanner uitzetten. Of een VM zonder virus scanner. Of linux.

Er is genoeg te klagen maar dit is echt een non-issue
Hm. Ook voor Linux zijn er virusscanners.. Zowel open als closed source.
Verder wel correct, je hebt overigens een linus server nodig voor de aanval...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.