Cobalt Strike
Draudu rādītāju karte
EnigmaSoft draudu rādītāju karte
EnigmaSoft draudu rādītāju kartes ir dažādu ļaunprātīgas programmatūras draudu novērtējuma ziņojumi, kurus ir apkopojusi un analizējusi mūsu pētnieku komanda. EnigmaSoft draudu rādītāju kartes novērtē un sarindo draudus, izmantojot vairākus rādītājus, tostarp reālos un iespējamos riska faktorus, tendences, biežumu, izplatību un noturību. EnigmaSoft draudu rādītāju kartes tiek regulāri atjauninātas, pamatojoties uz mūsu pētījumu datiem un metriku, un tās ir noderīgas plašam datoru lietotāju lokam, sākot no gala lietotājiem, kuri meklē risinājumus ļaunprātīgas programmatūras noņemšanai no savām sistēmām, līdz drošības ekspertiem, kas analizē draudus.
EnigmaSoft Threat Scorecards parāda dažādu noderīgu informāciju, tostarp:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Smaguma pakāpe: objekta noteiktais smaguma līmenis, kas attēlots skaitliski, pamatojoties uz mūsu riska modelēšanas procesu un izpēti, kā paskaidrots mūsu draudu novērtēšanas kritērijos .
Inficēti datori: apstiprināto un aizdomīgo gadījumu skaits par konkrētu apdraudējumu, kas atklāts inficētos datoros, kā ziņo SpyHunter.
Skatīt arī draudu novērtēšanas kritērijus .
| Popularity Rank: | 12,709 |
| Draudu līmenis: | 80 % (Augsts) |
| Inficētie datori: | 100 |
| Pirmo reizi redzēts: | October 29, 2021 |
| Pēdējo reizi redzēts: | January 15, 2026 |
| Ietekmētā(s) OS(-es): | Windows |
Ļaunprātīga programmatūra Cobalt Strike ir apdraudoša programmatūra, kas tiek izmantota, lai mērķētu uz finanšu iestādēm un citām organizācijām, un tā var inficēt datorus, kas izmanto Windows, Linux un Mac OS X sistēmas. Tas pirmo reizi tika atklāts 2012. gadā, un tiek uzskatīts, ka tas ir krieviski runājošas kibernoziedzības grupas, kas pazīstama kā Kobalta grupa, darbs. Ļaunprātīga programmatūra ir paredzēta naudas iekasēšanai no bankām, bankomātiem un citām finanšu iestādēm, izmantojot to sistēmu ievainojamības. Tas ir saistīts ar vairākiem augsta līmeņa uzbrukumiem, tostarp vienu Bangladešas Bankai 2016. gadā, kura rezultātā tika nozagts 81 miljons ASV dolāru. Cobalt Strike var izmantot arī datu eksfiltrācijai, izspiedējvīrusu uzbrukumiem un DDoS (Distributed Denial-of-Service) uzbrukumiem.
Kā dators tiek inficēts ar Cobalt Strike ļaunprātīgu programmatūru
Ļaunprātīga programmatūra Cobalt Strike parasti tiek izplatīta, izmantojot bojātus e-pastus vai vietnes. E-pasta ziņojumos var būt saites uz nedrošām vietnēm, kuras pēc tam var lejupielādēt Cobalt Strike datorā. Turklāt Cobalt Strike var izplatīties, veicot lejupielādes, kad nenojaušams lietotājs apmeklē vietni, kas ir inficēta ar draudiem. Kad Cobalt Strike ir instalēts datorā, to var izmantot datu un naudas vākšanai no finanšu iestādēm.
Kāpēc hakeriem savos uzbrukumos patīk izmantot kobalta triecienu?
Hakeri izmanto Cobalt Strike dažādu iemeslu dēļ. Tas ir uzlabots rīks, kas ļauj viņiem piekļūt tīkliem, uzsākt DDoS (Distributed Denial-of-Service) uzbrukumus un izfiltrēt datus. Tam ir arī iespēja apiet drošības pasākumus, piemēram, ugunsmūrus un drošības programmatūru. Turklāt to var izmantot, lai izveidotu kaitīgas kravas, ko var izmantot pikšķerēšanas kampaņās vai citos kiberuzbrukumos. Visbeidzot, Cobalt Strike ir salīdzinoši viegli lietojams, un to var ātri izmantot, lai veiktu uzbrukumu.
Vai ir cita ļaunprātīga programmatūra, piemēram, Cobalt Strike?
Jā, ir arī citi ļaunprātīgas programmatūras draudi, kas ir līdzīgi Cobalt Strike. Daži no tiem ietver Emotet , Trickbot un Ryuk . Emotet ir banku Trojas zirgs, kas tiek izmantots, lai vāktu finanšu informāciju no upuriem. Trickbot ir modulārs banku Trojas zirgs, ko var izmantot datu izfiltrēšanai un izspiedējvīrusu uzbrukumiem. Ryuk ir ransomware celms, kas ir saistīts ar vairākiem augsta līmeņa uzbrukumiem organizācijām visā pasaulē. Visi šie draudi var radīt būtisku kaitējumu, ja tie netiek pienācīgi novērsti.
Cobalt Strike izraisītas infekcijas simptomi
Cobalt Strike ļaunprātīgas programmatūras infekcijas simptomi ir lēna datora veiktspēja, negaidīti uznirstošie logi un dīvaini faili vai mapes, kas parādās datorā. Turklāt lietotājiem var rasties grūtības piekļūt noteiktām vietnēm vai lietojumprogrammām, kā arī saņemt e-pasta ziņojumus ar aizdomīgiem pielikumiem. Ja lietotājs pamana kādu no šiem simptomiem, viņam nekavējoties jāsazinās ar savu IT nodaļu vai drošības pakalpojumu sniedzēju, lai veiktu turpmāku izmeklēšanu.
Kā atklāt un noņemt Cobalt Strike infekciju no inficētas iekārtas
1. Palaidiet pilnu sistēmas skenēšanu, izmantojot atjauninātu ļaunprātīgas programmatūras novēršanas programmatūru. Tas atklās un noņems visus bojātos failus, kas saistīti ar Cobalt Strike ļaunprātīgu programmatūru.
2. Pārbaudiet, vai sistēmā nav aizdomīgu procesu vai pakalpojumu, kas var darboties fonā. Ja atrodat, nekavējoties pārtrauciet tos.
3. Izdzēsiet visus aizdomīgos failus vai mapes, ko datorā ir izveidojusi ļaunprogrammatūra Cobalt Strike.
4. Nomainiet visas savas paroles, īpaši tās, kas saistītas ar finanšu kontiem vai citu sensitīvu informāciju.
5. Pārliecinieties, vai jūsu operētājsistēma un lietojumprogrammas ir atjauninātas ar jaunākajiem drošības ielāpiem un atjauninājumiem no ražotāja vietnes.
6. Apsveriet iespēju izmantot cienījamu ugunsmūri un ļaunprātīgas programmatūras novēršanas programmu, lai aizsargātu datoru no nākotnes apdraudējumiem, piemēram, ļaunprātīgas programmatūras Cobalt Strike.
Satura rādītājs
Analīzes ziņojums
Galvenā informācija
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Faila lielums:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Faila lielums:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
