Google will Missbrauch des Pentesting-Tools Cobalt Strike eindämmen

Damit Admins Netzwerk-Attacken durch Cobalt-Strike-Missbrauch besser erkennen können, hat Google unter anderem Erkennungsregeln auf Yara-Basis veröffentlicht.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Magnifying,Glass,Enlarging,Malware,In,Computer,Machine,Code

(Bild: Balefire / Shutterstock.com)

Update
Lesezeit: 2 Min.

Eigentlich klopfen Sicherheitsforscher mit dem legitimen Pentesting-Tool Cobalt Strike Firmen-Netzwerke auf Schlupflöcher ab und schließe diese. Doch Angreifer nutzen es auch für ihre Zwecke und setzen sich über Cobalt Strike Beacons in Netzwerken fest. Das sollen Admins nun dank von Google öffentlich zur Verfügung gestellter Erkennungsregeln besser feststellen können.

Cobalt Strike vom Anbieter Fortra ist für Sicherheitsforscher eine Art Schweizer Taschenmesser. Damit simulieren sie Attacken auf Netzwerke und testen damit die IT-Sicherheit von Unternehmen. Die darin enthalten Tools sind aber eben auch für Angreifer sehr interessant. Oft richten sie sich damit nach erfolgreichen Attacken einen Fernzugriff auf kompromittierten Systemen ein.

Einem Bericht von Google zufolge prüft Fortra Anträge von Cobalt-Strike-Interessierten, sodass sie darüber schon Angreifer aussieben. Demzufolge nutzen Kriminelle generell gecrackte Version des Pentesting-Tools. Das sind dann oft veraltete Versionen von Cobalt Strike. Unter anderem die Versionserkennung ist eine Basis, auf denen Googles Erkennungsregeln fußen. Dafür hat Google eigenen Angaben zufolge Versionen ab 2012 analysiert und 340 Binaries untersucht.

Auf Basis dieser Ergebnisse hat Google Yara-Regeln erstellt. Dabei handelt es sich um ein quelloffenes Framework, mit unter anderem Erkennungsmustern für Trojanern. Mit diesen Regeln kann man beispielsweise den Open Threat Scanner des c't-Sicherheitstools Desinfec't ausstatten.

Außerdem hat Google eine VirusTotal Collection aus Indicator of Compromises (IOC) zusammengestellt. Weiterhin geben sie an, die Daten auch als Open Source anzubieten, sodass sich Anbieter von Security-Anwendungen daran bedienen können.

Update

Von Angreifer eingesetzte Versionen im Text präzisiert.

(des)