Cobalt Strike
Показател за заплахи
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards са доклади за оценка на различни заплахи от зловреден софтуер, които са събрани и анализирани от нашия изследователски екип. EnigmaSoft Threat Scorecards оценява и класира заплахите, като използва няколко показателя, включително реални и потенциални рискови фактори, тенденции, честота, разпространение и устойчивост. EnigmaSoft Threat Scorecards се актуализират редовно въз основа на нашите изследователски данни и показатели и са полезни за широк кръг компютърни потребители, от крайни потребители, търсещи решения за премахване на зловреден софтуер от техните системи, до експерти по сигурността, анализиращи заплахи.
EnigmaSoft Threat Scorecards показва разнообразна полезна информация, включително:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Ниво на сериозност: Определеното ниво на сериозност на обект, представено числено, въз основа на нашия процес на моделиране на риска и изследване, както е обяснено в нашите критерии за оценка на заплахите .
Заразени компютри: Броят на потвърдените и предполагаеми случаи на определена заплаха, открити на заразени компютри, както се съобщава от SpyHunter.
Вижте също Критерии за оценка на заплахите .
| Popularity Rank: | 12,709 |
| Ниво на заплаха: | 80 % (Високо) |
| Заразени компютри: | 100 |
| Първо видяно: | October 29, 2021 |
| Последно видян: | January 15, 2026 |
| Засегнати операционни системи: | Windows |
Зловреден софтуер Cobalt Strike е заплашителен софтуер, който се използва за насочване към финансови институции и други организации и може да зарази компютри, използващи Windows, Linux и Mac OS X системи. За първи път е открит през 2012 г. и се смята, че е дело на рускоезична киберпрестъпна група, известна като Cobalt Group. Зловреден софтуер е предназначен да събира пари от банки, банкомати и други финансови институции чрез използване на уязвимости в техните системи. То е свързано с няколко нашумели атаки, включително една срещу Bank of Bangladesh през 2016 г., която доведе до кражба на 81 милиона долара. Cobalt Strike също може да се използва за ексфилтриране на данни, атаки с рансъмуер и атаки за разпределен отказ на услуга (DDoS).
Как компютърът се заразява със зловреден софтуер Cobalt Strike
Зловреден софтуер Cobalt Strike обикновено се разпространява чрез повредени имейли или уебсайтове. Имейлите може да съдържат връзки към опасни уебсайтове, които след това могат да изтеглят Cobalt Strike на компютър. Освен това, Cobalt Strike може да се разпространи чрез изтегляния, при които нищо неподозиращият потребител посещава уебсайт, който е бил заразен със заплахата. Веднъж инсталиран на компютър, Cobalt Strike може да се използва за събиране на данни и пари от финансови институции.
Защо хакерите обичат да използват Cobalt Strike в своите атаки?
Хакерите използват Cobalt Strike по различни причини. Това е усъвършенстван инструмент, който им позволява да получат достъп до мрежи, да стартират разпределени атаки за отказ на услуга (DDoS) и да ексфилтрират данни. Освен това има способността да заобикаля мерките за сигурност като защитни стени и софтуер за сигурност. Освен това може да се използва за създаване на вредни полезни товари, които могат да се използват във фишинг кампании или други кибератаки. И накрая, Cobalt Strike е относително лесен за използване и може бързо да се използва за извършване на атака.
Има ли друг зловреден софтуер като Cobalt Strike?
Да, има други заплахи за зловреден софтуер, които са подобни на Cobalt Strike. Някои от тях включват Emotet , Trickbot и Ryuk . Emotet е банков троянски кон, който се използва за събиране на финансова информация от жертви. Trickbot е модулен банков троянски кон, който може да се използва за кражба на данни и атаки на ransomware. Ryuk е щам софтуер за откуп, който е свързан с няколко високопоставени атаки срещу организации по целия свят. Всички тези заплахи имат потенциала да причинят значителни щети, ако не бъдат адресирани правилно.
Симптоми на инфекция от Cobalt Strike
Симптомите на инфекция от злонамерения софтуер Cobalt Strike включват бавна производителност на компютъра, неочаквани изскачащи прозорци и странни файлове или папки, появяващи се на компютъра. Освен това потребителите може да изпитват затруднения при достъпа до определени уебсайтове или приложения, както и да получават имейли с подозрителни прикачени файлове. Ако потребител забележи някой от тези симптоми, той трябва незабавно да се свърже със своя ИТ отдел или доставчик на сигурност, за да проучи допълнително.
Как да откриете и премахнете инфекцията Cobalt Strike от заразена машина
1. Стартирайте пълно сканиране на системата с актуализиран софтуер против зловреден софтуер. Това ще открие и премахне всички подправени файлове, свързани със злонамерения софтуер Cobalt Strike.
2. Проверете системата си за подозрителни процеси или услуги, които може да работят във фонов режим. Ако намерите такива, незабавно ги прекратете.
3. Изтрийте всички подозрителни файлове или папки, които са създадени от злонамерения софтуер Cobalt Strike на вашия компютър.
4. Променете всичките си пароли, особено тези, свързани с финансови сметки или друга чувствителна информация.
5. Уверете се, че вашата операционна система и приложения са актуални с най-новите корекции за сигурност и актуализации от уебсайта на производителя.
6. Обмислете използването на реномирана защитна стена и анти-зловреден софтуер, за да защитите компютъра си от бъдещи заплахи като злонамерения софтуер Cobalt Strike.
Съдържание
Доклад за анализ
Главна информация
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Размер на файла:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Размер на файла:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
