Cobalt Strike
Ohu tulemuskaart
EnigmaSoft Threat Scardcard
EnigmaSoft Threat Scorecards on erinevate pahavaraohtude hindamisaruanded, mille on kogunud ja analüüsinud meie uurimismeeskond. EnigmaSoft Threat Scorecards hindavad ja järjestavad ohte, kasutades mitmeid mõõdikuid, sealhulgas reaalseid ja potentsiaalseid riskitegureid, suundumusi, sagedust, levimust ja püsivust. EnigmaSoft Threat Scorecards uuendatakse regulaarselt meie uurimisandmete ja mõõdikute põhjal ning need on kasulikud paljudele arvutikasutajatele, alates lõppkasutajatest, kes otsivad lahendusi pahavara eemaldamiseks oma süsteemidest, kuni ohtusid analüüsivate turvaekspertideni.
EnigmaSoft Threat Scorecards kuvab mitmesugust kasulikku teavet, sealhulgas:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Raskusaste: objekti kindlaksmääratud raskusaste, mis on esitatud arvuliselt, tuginedes meie riskide modelleerimise protsessile ja uuringutele, nagu on selgitatud meie ohu hindamise kriteeriumides .
Nakatunud arvutid: SpyHunteri teatel nakatunud arvutites tuvastatud konkreetse ohu kinnitatud ja kahtlustatavate juhtumite arv.
Vt ka Ohu hindamise kriteeriumid .
| Popularity Rank: | 12,709 |
| Ohu tase: | 80 % (Kõrge) |
| Nakatunud arvutid: | 100 |
| Esimene nägemine: | October 29, 2021 |
| Viimati nähtud: | January 15, 2026 |
| Mõjutatud OS (id): | Windows |
Pahavara Cobalt Strike on ähvardav tarkvara, mida kasutatakse finantsasutuste ja muude organisatsioonide sihtimiseks ning mis võib nakatada Windowsi, Linuxi ja Mac OS X süsteeme kasutavaid arvuteid. See avastati esmakordselt 2012. aastal ja arvatakse, et see on Cobalt Groupi nime all tuntud venekeelse küberkuritegevuse rühmituse töö. Pahavara on loodud raha kogumiseks pankadelt, sularahaautomaatidelt ja muudelt finantsasutustelt, kasutades ära nende süsteemide haavatavusi. Seda on seostatud mitme kõrgetasemelise rünnakuga, sealhulgas ühe Bangladeshi panga vastu 2016. aastal, mille tulemuseks oli 81 miljoni dollari vargus. Cobalt Strike'i saab kasutada ka andmete väljafiltreerimiseks, lunavararünnakuteks ja hajutatud teenusekeelu (DDoS) rünnakuteks.
Kuidas arvuti Cobalt Strike'i pahavaraga nakatub
Cobalt Strike'i pahavara levib tavaliselt rikutud meilide või veebisaitide kaudu. Meilid võivad sisaldada linke ebaturvalistele veebisaitidele, mis võivad seejärel Cobalt Strike'i arvutisse alla laadida. Lisaks võib Cobalt Strike levida autoga allalaadimiste kaudu, kus pahaaimamatu kasutaja külastab veebisaiti, mis on ohuga nakatunud. Kui Cobalt Strike on arvutisse installitud, saab seda kasutada finantsasutustelt andmete ja raha kogumiseks.
Miks häkkeritele meeldib oma rünnakutes kasutada koobalti lööki?
Häkkerid kasutavad Cobalt Strike'i mitmel põhjusel. See on täiustatud tööriist, mis võimaldab neil pääseda juurde võrkudele, käivitada hajutatud teenuse keelamise (DDoS) rünnakuid ja andmeid välja filtreerida. Sellel on ka võimalus turvameetmetest, nagu tulemüürid ja turvatarkvara, mööda minna. Lisaks saab seda kasutada kahjulike kasulike koormuste loomiseks, mida saab kasutada andmepüügikampaaniates või muudes küberrünnakutes. Lõpuks on Cobalt Strike'i suhteliselt lihtne kasutada ja seda saab rünnaku läbiviimiseks kiiresti kasutusele võtta.
Kas on ka muud pahavara nagu Cobalt Strike?
Jah, on ka teisi pahavaraohte, mis on sarnased Cobalt Strike'iga. Mõned neist on Emotet , Trickbot ja Ryuk . Emotet on pangandustroojalane, mida kasutatakse ohvritelt finantsteabe kogumiseks. Trickbot on modulaarne pangandustroojalane, mida saab kasutada andmete väljafiltreerimiseks ja lunavararünnakuteks. Ryuk on lunavara tüvi, mida on seostatud mitme kõrgetasemelise rünnakuga organisatsioonide vastu üle maailma. Kõik need ohud võivad põhjustada märkimisväärset kahju, kui nendega ei tegeleta õigesti.
Koobaltilöögist põhjustatud infektsiooni sümptomid
Pahavara Cobalt Strike nakatumise sümptomiteks on arvuti aeglane jõudlus, ootamatud hüpikaknad ja arvutisse ilmuvad kummalised failid või kaustad. Lisaks võib kasutajatel tekkida raskusi juurdepääsuga teatud veebisaitidele või rakendustele, samuti kahtlaste manustega meilide vastuvõtmisel. Kui kasutaja märkab mõnda neist sümptomitest, peab ta viivitamatult ühendust võtma oma IT-osakonna või turbeteenuse pakkujaga, et edasi uurida.
Kuidas tuvastada ja eemaldada nakatunud masinast koobaltilöögi infektsioon
1. Käivitage täielik süsteemi kontroll värskendatud pahavaratõrjetarkvaraga. See tuvastab ja eemaldab kõik Cobalt Strike'i pahavaraga seotud rikutud failid.
2. Kontrollige oma süsteemi kahtlaste protsesside või teenuste suhtes, mis võivad taustal töötada. Kui leiate neid, lõpetage need kohe.
3. Kustutage oma arvutist kõik kahtlased failid või kaustad, mille on loonud pahavara Cobalt Strike.
4. Muutke kõik oma paroolid, eriti need, mis on seotud finantskontode või muu tundliku teabega.
5. Veenduge, et teie operatsioonisüsteem ja rakendused oleksid tootja veebisaidi uusimate turvapaikade ja värskendustega ajakohased.
6. Kaaluge hea mainega tulemüüri ja pahavaratõrjeprogrammi kasutamist, et kaitsta oma arvutit tulevaste ohtude eest, nagu pahavara Cobalt Strike.
Sisukord
Analüüsiaruanne
Üldine informatsioon
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Faili suurus:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Faili suurus:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
