Kobolt
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Rangering: Rangeringen af en bestemt trussel i EnigmaSofts trusseldatabase.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
Rangering: | 4,110 |
Trusselsniveau: | 20 % (Normal) |
Inficerede computere: | 2,252 |
Først set: | May 5, 2022 |
Sidst set: | September 20, 2023 |
Berørte operativsystemer: | Windows |
Cobalt er en malware-infektion, der spredes ved at udnytte en sårbarhed i Microsoft Windows, der har eksisteret i 17 år i dette operativsystem. Selvom sårbarheden, der bruges af Cobalt, CVE-2017-11882, har eksisteret i 17 år, blev den kun offentliggjort og patched af Microsoft i november 2017. Ved hjælp af denne sårbarhed var cybercrooks i stand til at levere trusler ved at bruge Cobalt. Strike, et værktøj, der bruges til at teste sårbarheder.
Indholdsfortegnelse
En kobolthemmelighed, der holdes i mange år
Cobalt leveres via en spam-e-mail-besked, der ligner en underretning fra Visa (kreditkortselskabet), der angiveligt meddeler regelændringer i sin PayWave-tjeneste i Rusland. Ofre modtager et RTF-dokument med navnet 'Изменения в системе безопасности.doc Visa payWave.doc' samt en arkivfil med samme navn. Afsendelse af trusler i form af arkivfiler, der er knyttet til e-mail-beskeder, er en meget almindelig metode til at levere dem. Brug af adgangskodebeskyttede arkiver til disse angreb er en sikker måde at forhindre autoanalysesystemer i at analysere filen, da de udpakker filen i et sikkert miljø for at opdage trusler. Der er dog noget af et socialt ingeniøraspekt ved at inkludere både den beskadigede DOC-fil og arkivet i den samme besked.
Når det skadelige dokument, der bruges til at levere Cobalt, åbnes, kører et PowerShell-script i baggrunden. Dette script downloader og installerer kobolt på offerets computer, så cybercrooks kan tage kontrol over den inficerede computer. Under Cobalt-angrebet downloades og udføres flere scripts for at downloade og installere Cobalt på offerets computer til sidst. Når udnyttelsen af CVE-2017-11882 udløses på den inficerede computer, downloades en tilsløret JavaScript-fil og derefter udføres på den inficerede computer. Dette downloader et andet PowerShell-script, som derefter indlæser kobolt direkte til hukommelsen på den inficerede computer. Mens PowerShell-scripts kan være en effektiv måde at gøre brugen af en computer mere praktisk og effektiv på, har den måde, den interagerer med en computers indre funktion, og deres magt, gjort disse scripts til et af de foretrukne værktøjer, der bruges i trusselangreb. Da kobolt indlæses direkte i hukommelsen, og der ikke skrives nogen beskadiget DLL-fil på offerets harddiske, gør det det vanskeligere for antivirusprogrammer at opdage, at koboltangrebet udføres.
Hvordan koboltangrebet kan påvirke dig og din maskine
Når Cobalt er installeret på offerets computer, kan Cobalt bruges til at kontrollere den inficerede computer samt til at installere denne trussel på andre computersystemer på det samme netværk. Selvom officielt Cobalt Strike angiveligt er et værktøj til penetrationstest, bruges det i dette tilfælde til at udføre trusselangreb. Cybercrooks leder altid efter nye måder at levere trusler på. Mens nye sårbarheder er ret truende, udgør meget gamle sårbarheder som denne, der muligvis ikke er blevet behandlet korrekt oprindeligt, også en trussel mod computerbrugere. Husk, at mange computerbrugere ikke lapper deres software og operativsystem regelmæssigt, hvilket betyder, at mange pc'er er sårbare over for mange bedrifter, der er ret gamle, og i nogle tilfælde vil blive overset af mange antivirusprogrammer.
Beskyttelse af din computer mod en trussel som kobolt
Som med de fleste trusler er brugen af et pålideligt sikkerhedsprogram den bedste beskyttelse mod kobolt og lignende trusler. Men da en gammel softwareudnyttelse er involveret i disse angreb, rådgiver pc-sikkerhedsforskere computerbrugere om at sikre, at deres software og operativsystem er opdateret fuldt ud med de nyeste sikkerhedsrettelser. Dette kan hjælpe computerbrugere med at forhindre trusler og andre problemer så meget som ved hjælp af sikkerhedssoftware.
URL'er
Kobolt kan kalde følgende URL'er:
betaengine.org |