Cobalt Strike
Kad Skor Ancaman
Kad Skor Ancaman EnigmaSoft
Kad Skor Ancaman EnigmaSoft ialah laporan penilaian untuk ancaman perisian hasad yang berbeza yang telah dikumpulkan dan dianalisis oleh pasukan penyelidik kami. Kad Skor Ancaman EnigmaSoft menilai dan menilai ancaman menggunakan beberapa metrik termasuk faktor risiko dunia sebenar dan potensi, arah aliran, kekerapan, kelaziman dan kegigihan. Kad Skor Ancaman EnigmaSoft dikemas kini secara berkala berdasarkan data dan metrik penyelidikan kami dan berguna untuk pelbagai pengguna komputer, daripada pengguna akhir yang mencari penyelesaian untuk mengalih keluar perisian hasad daripada sistem mereka kepada pakar keselamatan yang menganalisis ancaman.
Kad Skor Ancaman EnigmaSoft memaparkan pelbagai maklumat berguna, termasuk:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Tahap Keterukan: Tahap keterukan objek yang ditentukan, diwakili secara berangka, berdasarkan proses dan penyelidikan pemodelan risiko kami, seperti yang dijelaskan dalam Kriteria Penilaian Ancaman kami.
Komputer yang Dijangkiti: Bilangan kes yang disahkan dan disyaki bagi ancaman tertentu yang dikesan pada komputer yang dijangkiti seperti yang dilaporkan oleh SpyHunter.
Lihat juga Kriteria Penilaian Ancaman .
| Popularity Rank: | 12,709 |
| Tahap Ancaman: | 80 % (tinggi) |
| Komputer yang Dijangkiti: | 100 |
| Pertama Dilihat: | October 29, 2021 |
| Kali terakhir dilihat: | January 15, 2026 |
| OS (es) Terjejas: | Windows |
Malware Cobalt Strike ialah perisian mengancam yang digunakan untuk menyasarkan institusi kewangan dan organisasi lain dan boleh menjangkiti komputer menggunakan sistem Windows, Linux dan Mac OS X. Ia pertama kali ditemui pada 2012 dan dipercayai merupakan hasil kumpulan jenayah siber berbahasa Rusia yang dikenali sebagai Kumpulan Cobalt. Malware direka bentuk untuk mengumpul wang daripada bank, ATM dan institusi kewangan lain dengan mengeksploitasi kelemahan dalam sistem mereka. Ia telah dikaitkan dengan beberapa serangan berprofil tinggi, termasuk satu di Bank of Bangladesh pada 2016 yang mengakibatkan kecurian $81 juta. Cobalt Strike juga boleh digunakan untuk exfiltration data, serangan ransomware dan serangan Distributed Denial-of-Service (DDoS).
Cara Komputer Dijangkiti dengan Perisian Hasad Cobalt Strike
Malware Cobalt Strike biasanya disebarkan melalui e-mel atau tapak web yang rosak. E-mel mungkin mengandungi pautan ke tapak web yang tidak selamat, yang kemudiannya boleh memuat turun Cobalt Strike ke komputer. Selain itu, Cobalt Strike boleh disebarkan melalui muat turun drive-by, di mana pengguna yang tidak mengesyaki melawat tapak web yang telah dijangkiti ancaman tersebut. Setelah dipasang pada komputer, Cobalt Strike kemudiannya boleh digunakan untuk mengumpul data dan wang daripada institusi kewangan.
Mengapa Penggodam Suka Menggunakan Cobalt Strike dalam Serangan Mereka?
Penggodam menggunakan Cobalt Strike untuk pelbagai sebab. Ia adalah alat lanjutan yang membolehkan mereka mendapat akses kepada rangkaian, melancarkan serangan Penafian Perkhidmatan (DDoS) Teragih dan mengeksfiltrasi data. Ia juga mempunyai keupayaan untuk memintas langkah keselamatan seperti tembok api dan perisian keselamatan. Selain itu, ia boleh digunakan untuk membuat muatan berbahaya yang boleh digunakan dalam kempen pancingan data atau serangan siber lain. Akhir sekali, Cobalt Strike agak mudah digunakan dan boleh digunakan dengan cepat untuk melakukan serangan.
Adakah terdapat Malware Lain Seperti Cobalt Strike?
Ya, terdapat ancaman malware lain yang serupa dengan Cobalt Strike. Sebahagian daripada ini termasuk Emotet , Trickbot dan Ryuk . Emotet ialah Trojan perbankan yang digunakan untuk mengumpul maklumat kewangan daripada mangsa. Trickbot ialah Trojan perbankan modular yang boleh digunakan untuk penyempitan data dan serangan perisian tebusan. Ryuk ialah strain perisian tebusan yang telah dikaitkan dengan beberapa serangan berprofil tinggi ke atas organisasi di seluruh dunia. Kesemua ancaman ini berpotensi menyebabkan kerosakan yang ketara jika ia tidak ditangani dengan betul.
Gejala Jangkitan oleh Cobalt Strike
Gejala jangkitan oleh perisian hasad Cobalt Strike termasuk prestasi komputer yang perlahan, tetingkap pop timbul yang tidak dijangka dan fail atau folder aneh yang muncul pada komputer. Selain itu, pengguna mungkin mengalami kesukaran mengakses tapak web atau aplikasi tertentu, serta menerima e-mel dengan lampiran yang mencurigakan. Jika pengguna menyedari mana-mana gejala ini, mereka harus segera menghubungi jabatan IT atau pembekal keselamatan mereka untuk menyiasat lebih lanjut.
Cara Mengesan dan Mengeluarkan Jangkitan Cobalt Strike daripada Mesin yang Dijangkiti
1. Jalankan imbasan sistem penuh dengan perisian anti-malware yang dikemas kini. Ini akan mengesan dan mengalih keluar sebarang fail yang diusik yang dikaitkan dengan perisian hasad Cobalt Strike.
2. Semak sistem anda untuk sebarang proses atau perkhidmatan yang mencurigakan yang mungkin berjalan di latar belakang. Jika anda menemui apa-apa, tamatkannya dengan serta-merta.
3. Padamkan sebarang fail atau folder yang mencurigakan yang telah dicipta oleh perisian hasad Cobalt Strike pada komputer anda.
4. Tukar semua kata laluan anda, terutamanya yang berkaitan dengan akaun kewangan atau maklumat sensitif lain.
5. Pastikan sistem pengendalian dan aplikasi anda dikemas kini dengan tampung keselamatan terkini dan kemas kini daripada tapak web pengilang.
6. Pertimbangkan untuk menggunakan firewall dan program anti-perisian hasad yang bereputasi untuk melindungi komputer anda daripada ancaman masa hadapan seperti perisian hasad Cobalt Strike.
Isi kandungan
Laporan Analisis
Maklumat am
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Saiz fail:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Saiz fail:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
