Cobalt Strike
کارت امتیازی تهدید
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards گزارشهای ارزیابی برای تهدیدات مختلف بدافزار هستند که توسط تیم تحقیقاتی ما جمعآوری و تجزیه و تحلیل شدهاند. EnigmaSoft Threat Scorecards با استفاده از چندین معیار از جمله عوامل خطر واقعی و بالقوه، روندها، فراوانی، شیوع و تداوم، تهدیدها را ارزیابی و رتبه بندی می کند. کارتهای امتیازی تهدید EnigmaSoft به طور منظم بر اساس دادههای تحقیقاتی و معیارهای ما بهروزرسانی میشوند و برای طیف گستردهای از کاربران رایانه، از کاربران نهایی که به دنبال راهحلهایی برای حذف بدافزار از سیستمهای خود هستند تا کارشناسان امنیتی که تهدیدها را تجزیه و تحلیل میکنند، مفید هستند.
کارت امتیازی EnigmaSoft Threat اطلاعات مفید مختلفی را نمایش می دهد، از جمله:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
سطح شدت: سطح شدت تعیین شده یک شی که به صورت عددی نشان داده می شود، بر اساس فرآیند مدل سازی ریسک و تحقیقات ما، همانطور که در معیارهای ارزیابی تهدید توضیح داده شده است.
رایانه های آلوده: تعداد موارد تأیید شده و مشکوک یک تهدید خاص که بر روی رایانه های آلوده شناسایی شده است که توسط SpyHunter گزارش شده است.
همچنین به معیارهای ارزیابی تهدید مراجعه کنید.
| Popularity Rank: | 12,709 |
| میزان خطر: | 80 % (بالا) |
| کامپیوترهای آلوده: | 100 |
| اولین بار دیده شد: | October 29, 2021 |
| آخرین حضور: | January 15, 2026 |
| سیستم عامل (های) تحت تأثیر: | Windows |
بدافزار Cobalt Strike یک نرم افزار تهدیدکننده است که برای هدف قرار دادن موسسات مالی و سایر سازمان ها استفاده می شود و می تواند رایانه هایی را که از سیستم های Windows، Linux و Mac OS X استفاده می کنند، آلوده کند. این اولین بار در سال 2012 کشف شد و گمان می رود کار یک گروه جرایم سایبری روسی زبان معروف به گروه کبالت باشد. این بدافزار برای جمعآوری پول از بانکها، دستگاههای خودپرداز و سایر مؤسسات مالی با بهرهبرداری از آسیبپذیریها در سیستمهایشان طراحی شده است. این حمله با چندین حمله پرمخاطب، از جمله حمله به بانک بنگلادش در سال 2016 که منجر به سرقت 81 میلیون دلار شد، مرتبط بوده است. Cobalt Strike همچنین می تواند برای استخراج داده ها، حملات باج افزار، و حملات انکار سرویس توزیع شده (DDoS) استفاده شود.
چگونه یک کامپیوتر به بدافزار Cobalt Strike آلوده می شود؟
بدافزار Cobalt Strike معمولاً از طریق ایمیل ها یا وب سایت های خراب منتشر می شود. ایمیلها ممکن است حاوی پیوندهایی به وبسایتهای ناامن باشند، که سپس میتوانند Cobalt Strike را روی رایانه دانلود کنند. علاوه بر این، Cobalt Strike میتواند از طریق دانلودهای درایو توسط کاربر پخش شود، جایی که کاربر ناآگاه از وبسایتی که به این تهدید آلوده شده است بازدید میکند. پس از نصب روی رایانه، Cobalt Strike می تواند برای جمع آوری داده ها و پول از مؤسسات مالی استفاده شود.
چرا هکرها دوست دارند از اعتصاب کبالت در حملات خود استفاده کنند؟
هکرها به دلایل مختلفی از Cobalt Strike استفاده می کنند. این ابزار پیشرفته ای است که به آنها امکان دسترسی به شبکه ها، راه اندازی حملات انکار سرویس توزیع شده (DDoS) و استخراج داده ها را می دهد. همچنین قابلیت دور زدن اقدامات امنیتی مانند فایروال ها و نرم افزارهای امنیتی را دارد. علاوه بر این، می توان از آن برای ایجاد بارهای مضر استفاده کرد که می توانند در کمپین های فیشینگ یا سایر حملات سایبری استفاده شوند. در نهایت، استفاده از Cobalt Strike نسبتا آسان است و می توان آن را به سرعت برای انجام یک حمله مستقر کرد.
آیا بدافزار دیگری مانند Cobalt Strike وجود دارد؟
بله، تهدیدات بدافزار دیگری مشابه Cobalt Strike وجود دارد. برخی از این موارد عبارتند از Emotet , Trickbot و Ryuk . Emotet یک تروجان بانکی است که برای جمع آوری اطلاعات مالی از قربانیان استفاده می شود. Trickbot یک تروجان بانکی مدولار است که می تواند برای استخراج داده ها و حملات باج افزار استفاده شود. Ryuk یک نوع باج افزار است که با چندین حمله با مشخصات بالا به سازمان ها در سراسر جهان مرتبط است. همه این تهدیدها در صورت عدم رسیدگی مناسب می توانند آسیب های قابل توجهی را به بار آورند.
علائم عفونت ناشی از حمله کبالت
علائم آلودگی توسط بدافزار Cobalt Strike شامل عملکرد کند کامپیوتر، پنجره های پاپ آپ غیرمنتظره و ظاهر شدن فایل ها یا پوشه های عجیب بر روی کامپیوتر است. علاوه بر این، کاربران ممکن است در دسترسی به وبسایتها یا برنامههای خاص و همچنین دریافت ایمیلهایی با پیوستهای مشکوک با مشکل مواجه شوند. اگر کاربر متوجه هر یک از این علائم شد، باید فوراً با بخش فناوری اطلاعات یا ارائهدهنده امنیت خود برای بررسی بیشتر تماس بگیرد.
نحوه تشخیص و حذف عفونت کوبالت Strike از دستگاه آلوده
1. اسکن کامل سیستم را با نرم افزار ضد بدافزار به روز شده اجرا کنید. با این کار هر فایل دستکاری شده مرتبط با بدافزار Cobalt Strike شناسایی و حذف می شود.
2. سیستم خود را برای هرگونه فرآیند یا سرویس مشکوکی که ممکن است در پسزمینه اجرا شود، بررسی کنید. اگر موردی پیدا کردید، فوراً آنها را خاتمه دهید.
3. هر فایل یا پوشه مشکوکی را که توسط بدافزار Cobalt Strike در رایانه شما ایجاد شده است، حذف کنید.
4. همه رمزهای عبور خود را تغییر دهید، به خصوص رمزهای عبور مربوط به حساب های مالی یا سایر اطلاعات حساس.
5. مطمئن شوید که سیستم عامل و برنامه های شما با آخرین وصله های امنیتی و به روز رسانی های وب سایت سازنده به روز هستند.
6. استفاده از یک فایروال معتبر و برنامه ضد بدافزار را برای محافظت از رایانه خود در برابر تهدیدات آینده مانند بدافزار Cobalt Strike در نظر بگیرید.
فهرست مطالب
گزارش تجزیه و تحلیل
اطلاعات کلی
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
حجم فایل:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
حجم فایل:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
