Cobalt Strike
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
| Popularity Rank: | 12,709 |
| Уровень угрозы: | 80 % (Высокая) |
| Зараженные компьютеры: | 100 |
| Первый раз: | October 29, 2021 |
| Последний визит: | January 15, 2026 |
| ОС(а) Затронутые: | Windows |
Вредоносная программа Cobalt Strike представляет собой угрожающее программное обеспечение, которое используется для нападения на финансовые учреждения и другие организации и может заражать компьютеры с системами Windows, Linux и Mac OS X. Впервые он был обнаружен в 2012 году и считается работой русскоязычной группы киберпреступников, известной как Cobalt Group. Вредоносное ПО предназначено для сбора денег с банков, банкоматов и других финансовых учреждений путем использования уязвимостей в их системах. Он был связан с несколькими громкими атаками, в том числе с атакой на Банк Бангладеш в 2016 году, в результате которой был украден 81 миллион долларов. Cobalt Strike также может использоваться для кражи данных, атак программ-вымогателей и распределенных атак типа «отказ в обслуживании» (DDoS).
Как компьютер заражается вредоносным ПО Cobalt Strike
Вредоносное ПО Cobalt Strike обычно распространяется через поврежденные электронные письма или веб-сайты. Электронные письма могут содержать ссылки на небезопасные веб-сайты, которые затем могут загрузить Cobalt Strike на компьютер. Кроме того, Cobalt Strike может распространяться через попутные загрузки, когда ничего не подозревающий пользователь посещает веб-сайт, зараженный угрозой. После установки на компьютер Cobalt Strike можно использовать для сбора данных и денег от финансовых учреждений.
Почему хакеры любят использовать Cobalt Strike в своих атаках?
Хакеры используют Cobalt Strike по разным причинам. Это продвинутый инструмент, который позволяет им получать доступ к сетям, запускать распределенные атаки типа «отказ в обслуживании» (DDoS) и эксфильтровать данные. Он также имеет возможность обходить меры безопасности, такие как брандмауэры и программное обеспечение безопасности. Кроме того, его можно использовать для создания вредоносных полезных нагрузок, которые можно использовать в фишинговых кампаниях или других кибератаках. Наконец, Cobalt Strike относительно прост в использовании и может быть быстро задействован для проведения атаки.
Существуют ли другие вредоносные программы, такие как Cobalt Strike?
Да, есть и другие вредоносные программы, похожие на Cobalt Strike. Некоторые из них включают Emotet , Trickbot и Ryuk . Emotet — банковский троянец, который используется для сбора финансовой информации от жертв. Trickbot — это модульный банковский троянец, который можно использовать для кражи данных и атак программ-вымогателей. Ryuk — это разновидность программы-вымогателя, которая была связана с несколькими громкими атаками на организации по всему миру. Все эти угрозы могут нанести значительный ущерб, если их не устранить должным образом.
Симптомы заражения кобальтовым ударом
Симптомы заражения вредоносным ПО Cobalt Strike включают низкую производительность компьютера, неожиданные всплывающие окна и странные файлы или папки, появляющиеся на компьютере. Кроме того, пользователи могут испытывать трудности с доступом к определенным веб-сайтам или приложениям, а также с получением электронных писем с подозрительными вложениями. Если пользователь замечает какие-либо из этих симптомов, он должен немедленно связаться со своим ИТ-отделом или поставщиком услуг безопасности для дальнейшего расследования.
Как обнаружить и удалить инфекцию Cobalt Strike с зараженной машины
1. Запустите полное сканирование системы с помощью обновленного программного обеспечения для защиты от вредоносных программ. Это обнаружит и удалит любые поддельные файлы, связанные с вредоносным ПО Cobalt Strike.
2. Проверьте свою систему на наличие подозрительных процессов или служб, которые могут работать в фоновом режиме. Если вы их обнаружите, немедленно уничтожьте их.
3. Удалите все подозрительные файлы или папки, созданные вредоносной программой Cobalt Strike, на вашем компьютере.
4. Смените все свои пароли, особенно те, которые относятся к финансовым счетам или другой конфиденциальной информации.
5. Убедитесь, что в вашей операционной системе и приложениях установлены последние исправления безопасности и обновления с веб-сайта производителя.
6. Рассмотрите возможность использования надежного брандмауэра и программы защиты от вредоносных программ, чтобы защитить свой компьютер от будущих угроз, таких как вредоносное ПО Cobalt Strike.
Оглавление
Аналитический отчет
Главная Информация
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Размер файла:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Размер файла:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
