Kobolt

Kobolt Beskrivelse

Cobalt er en malware-infektion, der spredes ved at udnytte en sårbarhed i Microsoft Windows, der har eksisteret i 17 år i dette operativsystem. Selvom sårbarheden, der bruges af Cobalt, CVE-2017-11882, har eksisteret i 17 år, blev den kun offentliggjort og patched af Microsoft i november 2017. Ved hjælp af denne sårbarhed var cybercrooks i stand til at levere trusler ved at bruge Cobalt. Strike, et værktøj, der bruges til at teste sårbarheder.

En kobolthemmelighed, der holdes i mange år

Cobalt leveres via en spam-e-mail-besked, der ligner en underretning fra Visa (kreditkortselskabet), der angiveligt meddeler regelændringer i sin PayWave-tjeneste i Rusland. Ofre modtager et RTF-dokument med navnet 'Изменения в системе безопасности.doc Visa payWave.doc' samt en arkivfil med samme navn. Afsendelse af trusler i form af arkivfiler, der er knyttet til e-mail-beskeder, er en meget almindelig metode til at levere dem. Brug af adgangskodebeskyttede arkiver til disse angreb er en sikker måde at forhindre autoanalysesystemer i at analysere filen, da de udpakker filen i et sikkert miljø for at opdage trusler. Der er dog noget af et socialt ingeniøraspekt ved at inkludere både den beskadigede DOC-fil og arkivet i den samme besked.

Når det skadelige dokument, der bruges til at levere Cobalt, åbnes, kører et PowerShell-script i baggrunden. Dette script downloader og installerer kobolt på offerets computer, så cybercrooks kan tage kontrol over den inficerede computer. Under Cobalt-angrebet downloades og udføres flere scripts for at downloade og installere Cobalt på offerets computer til sidst. Når udnyttelsen af CVE-2017-11882 udløses på den inficerede computer, downloades en tilsløret JavaScript-fil og derefter udføres på den inficerede computer. Dette downloader et andet PowerShell-script, som derefter indlæser kobolt direkte til hukommelsen på den inficerede computer. Mens PowerShell-scripts kan være en effektiv måde at gøre brugen af en computer mere praktisk og effektiv på, har den måde, den interagerer med en computers indre funktion, og deres magt, gjort disse scripts til et af de foretrukne værktøjer, der bruges i trusselangreb. Da kobolt indlæses direkte i hukommelsen, og der ikke skrives nogen beskadiget DLL-fil på offerets harddiske, gør det det vanskeligere for antivirusprogrammer at opdage, at koboltangrebet udføres.

Hvordan koboltangrebet kan påvirke dig og din maskine

Når Cobalt er installeret på offerets computer, kan Cobalt bruges til at kontrollere den inficerede computer samt til at installere denne trussel på andre computersystemer på det samme netværk. Selvom officielt Cobalt Strike angiveligt er et værktøj til penetrationstest, bruges det i dette tilfælde til at udføre trusselangreb. Cybercrooks leder altid efter nye måder at levere trusler på. Mens nye sårbarheder er ret truende, udgør meget gamle sårbarheder som denne, der muligvis ikke er blevet behandlet korrekt oprindeligt, også en trussel mod computerbrugere. Husk, at mange computerbrugere ikke lapper deres software og operativsystem regelmæssigt, hvilket betyder, at mange pc'er er sårbare over for mange bedrifter, der er ret gamle, og i nogle tilfælde vil blive overset af mange antivirusprogrammer.

Beskyttelse af din computer mod en trussel som kobolt

Som med de fleste trusler er brugen af et pålideligt sikkerhedsprogram den bedste beskyttelse mod kobolt og lignende trusler. Men da en gammel softwareudnyttelse er involveret i disse angreb, rådgiver pc-sikkerhedsforskere computerbrugere om at sikre, at deres software og operativsystem er opdateret fuldt ud med de nyeste sikkerhedsrettelser. Dette kan hjælpe computerbrugere med at forhindre trusler og andre problemer så meget som ved hjælp af sikkerhedssoftware.