Cobalt Strike
Scorecard of Threat
Scorecard ohrožení EnigmaSoft
EnigmaSoft Threat Scorecards jsou zprávy o hodnocení různých malwarových hrozeb, které shromáždil a analyzoval náš výzkumný tým. EnigmaSoft Threat Scorecards hodnotí a hodnotí hrozby pomocí několika metrik včetně reálných a potenciálních rizikových faktorů, trendů, frekvence, prevalence a perzistence. EnigmaSoft Threat Scorecards jsou pravidelně aktualizovány na základě našich výzkumných dat a metrik a jsou užitečné pro širokou škálu počítačových uživatelů, od koncových uživatelů hledajících řešení k odstranění malwaru ze svých systémů až po bezpečnostní experty analyzující hrozby.
EnigmaSoft Threat Scorecards zobrazuje řadu užitečných informací, včetně:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjádřená číselně, na základě našeho procesu modelování rizik a výzkumu, jak je vysvětleno v našich kritériích hodnocení hrozeb .
Infikované počítače: Počet potvrzených a podezřelých případů konkrétní hrozby zjištěných na infikovaných počítačích podle zprávy SpyHunter.
Viz také Kritéria hodnocení hrozeb .
| Popularity Rank: | 12,709 |
| Úroveň ohrožení: | 80 % (Vysoký) |
| Infikované počítače: | 100 |
| Poprvé viděn: | October 29, 2021 |
| Naposledy viděn: | January 15, 2026 |
| Ovlivněné OS: | Windows |
Malware Cobalt Strike je hrozivý software, který se používá k cílení na finanční instituce a další organizace a může infikovat počítače používající systémy Windows, Linux a Mac OS X. Poprvé byl objeven v roce 2012 a má se za to, že je dílem rusky mluvící skupiny zabývající se kyberzločinem známé jako Cobalt Group. Malware je navržen tak, aby sbíral peníze z bank, bankomatů a dalších finančních institucí využíváním zranitelností v jejich systémech. Bylo spojeno s několika významnými útoky, včetně jednoho na Bangladéšskou banku v roce 2016, které vedly ke krádeži 81 milionů dolarů. Cobalt Strike lze také použít k exfiltraci dat, útokům ransomwaru a útokům DDoS (Distributed Denial-of-Service).
Jak se počítač nakazí malwarem Cobalt Strike
Malware Cobalt Strike se obvykle šíří prostřednictvím poškozených e-mailů nebo webových stránek. E-maily mohou obsahovat odkazy na nebezpečné webové stránky, které si pak mohou stáhnout Cobalt Strike do počítače. Kromě toho se Cobalt Strike může šířit prostřednictvím stahování z auta, kdy nic netušící uživatel navštíví web, který byl touto hrozbou infikován. Po instalaci do počítače lze Cobalt Strike použít ke sběru dat a peněz z finančních institucí.
Proč hackeři rádi používají při svých útocích kobaltový úder?
Hackeři používají Cobalt Strike z různých důvodů. Jde o pokročilý nástroj, který jim umožňuje získat přístup k sítím, spouštět útoky DDoS (Distributed Denial-of-Service) a exfiltrovat data. Má také schopnost obejít bezpečnostní opatření, jako jsou brány firewall a bezpečnostní software. Kromě toho jej lze použít k vytváření škodlivých dat, které lze použít při phishingových kampaních nebo jiných kybernetických útocích. A konečně, Cobalt Strike se poměrně snadno používá a lze jej rychle nasadit k provedení útoku.
Existuje další malware jako Cobalt Strike?
Ano, existují další malwarové hrozby, které jsou podobné Cobalt Strike. Některé z nich zahrnují Emotet , Trickbot a Ryuk . Emotet je bankovní trojan, který se používá ke shromažďování finančních informací od obětí. Trickbot je modulární bankovní trojan, který lze použít k exfiltraci dat a útokům ransomwaru. Ryuk je kmen ransomwaru, který je spojován s několika významnými útoky na organizace po celém světě. Všechny tyto hrozby mají potenciál způsobit značné škody, pokud nejsou řádně řešeny.
Příznaky infekce kobaltovým úderem
Příznaky infekce malwarem Cobalt Strike zahrnují pomalý výkon počítače, neočekávaná vyskakovací okna a podivné soubory nebo složky objevující se v počítači. Uživatelé mohou mít navíc potíže s přístupem k určitým webovým stránkám nebo aplikacím a také s přijímáním e-mailů s podezřelými přílohami. Pokud si uživatel všimne některého z těchto příznaků, měl by okamžitě kontaktovat své IT oddělení nebo poskytovatele zabezpečení, aby dále prošetřil.
Jak zjistit a odstranit infekci Cobalt Strike z infikovaného stroje
1. Spusťte úplnou kontrolu systému s aktualizovaným antimalwarovým softwarem. Tím dojde k detekci a odstranění všech zmanipulovaných souborů spojených s malwarem Cobalt Strike.
2. Zkontrolujte, zda váš systém neobsahuje nějaké podezřelé procesy nebo služby, které mohou běžet na pozadí. Pokud nějaké najdete, okamžitě je ukončete.
3. Odstraňte všechny podezřelé soubory nebo složky, které byly vytvořeny malwarem Cobalt Strike ve vašem počítači.
4. Změňte všechna svá hesla, zejména ta, která se týkají finančních účtů nebo jiných citlivých informací.
5. Ujistěte se, že váš operační systém a aplikace jsou aktuální s nejnovějšími bezpečnostními záplatami a aktualizacemi z webu výrobce.
6. Zvažte použití renomovaného firewallu a antimalwarového programu k ochraně vašeho počítače před budoucími hrozbami, jako je malware Cobalt Strike.
Obsah
Zpráva o analýze
Obecná informace
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Velikost souboru:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Velikost souboru:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
