Cobalt Strike
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for ulike malware-trusler som er samlet inn og analysert av vårt forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjelp av flere beregninger, inkludert reelle og potensielle risikofaktorer, trender, frekvens, utbredelse og utholdenhet. EnigmaSoft Threat Scorecards oppdateres regelmessig basert på våre forskningsdata og beregninger og er nyttige for et bredt spekter av databrukere, fra sluttbrukere som søker løsninger for å fjerne skadelig programvare fra systemene deres til sikkerhetseksperter som analyserer trusler.
EnigmaSoft Threat Scorecards viser en rekke nyttig informasjon, inkludert:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Alvorlighetsnivå: Det fastslåtte alvorlighetsnivået til et objekt, representert numerisk, basert på vår risikomodelleringsprosess og forskning, som forklart i våre trusselvurderingskriterier .
Infiserte datamaskiner: Antall bekreftede og mistenkte tilfeller av en bestemt trussel oppdaget på infiserte datamaskiner som rapportert av SpyHunter.
Se også Kriterier for trusselvurdering .
| Popularity Rank: | 12,709 |
| Trusselnivå: | 80 % (Høy) |
| Infiserte datamaskiner: | 100 |
| Først sett: | October 29, 2021 |
| Sist sett: | January 15, 2026 |
| OS(er) berørt: | Windows |
Cobalt Strike malware er en truende programvare som brukes til å målrette mot finansinstitusjoner og andre organisasjoner og kan infisere datamaskiner som bruker Windows, Linux og Mac OS X-systemer. Det ble først oppdaget i 2012 og antas å være arbeidet til en russisktalende cyberkriminalitetsgruppe kjent som Cobalt Group. Skadevaren er utviklet for å samle inn penger fra banker, minibanker og andre finansinstitusjoner ved å utnytte sårbarheter i systemene deres. Det har vært knyttet til flere høyprofilerte angrep, inkludert ett på Bank of Bangladesh i 2016 som resulterte i tyveri av 81 millioner dollar. Cobalt Strike kan også brukes til dataeksfiltrering, løsepengevare-angrep og DDoS-angrep (Distributed Denial-of-Service).
Hvordan en datamaskin blir infisert med Cobalt Strike Malware
Cobalt Strike malware spres vanligvis gjennom ødelagte e-poster eller nettsteder. E-postene kan inneholde lenker til usikre nettsteder, som deretter kan laste ned Cobalt Strike til en datamaskin. I tillegg kan Cobalt Strike spres gjennom drive-by-nedlastinger, der en intetanende bruker besøker et nettsted som har blitt infisert med trusselen. Når den er installert på en datamaskin, kan Cobalt Strike brukes til å samle inn data og penger fra finansinstitusjoner.
Hvorfor liker hackere å bruke koboltangrepet i sine angrep?
Hackere bruker Cobalt Strike av en rekke årsaker. Det er et avansert verktøy som lar dem få tilgang til nettverk, starte DDoS-angrep (Distributed Denial-of-Service) og eksfiltrere data. Den har også muligheten til å omgå sikkerhetstiltak som brannmurer og sikkerhetsprogramvare. I tillegg kan den brukes til å lage skadelige nyttelaster som kan brukes i phishing-kampanjer eller andre nettangrep. Endelig er Cobalt Strike relativt enkel å bruke og kan raskt settes inn for å utføre et angrep.
Er det annen skadelig programvare som Cobalt Strike?
Ja, det er andre trusler mot skadelig programvare som ligner på Cobalt Strike. Noen av disse inkluderer Emotet , Trickbot og Ryuk . Emotet er en banktrojaner som brukes til å samle finansiell informasjon fra ofre. Trickbot er en modulær banktrojaner som kan brukes til dataeksfiltrering og løsepenge-angrep. Ryuk er en løsepengevarestamme som har vært knyttet til flere høyprofilerte angrep på organisasjoner rundt om i verden. Alle disse truslene har potensial til å forårsake betydelig skade hvis de ikke blir løst på riktig måte.
Symptomer på en infeksjon av koboltstreiken
Symptomer på en infeksjon av Cobalt Strike malware inkluderer treg datamaskinytelse, uventede popup-vinduer og rare filer eller mapper som vises på datamaskinen. I tillegg kan brukere oppleve problemer med å få tilgang til enkelte nettsteder eller applikasjoner, samt motta e-poster med mistenkelige vedlegg. Hvis en bruker oppdager noen av disse symptomene, bør de umiddelbart kontakte IT-avdelingen eller sikkerhetsleverandøren for å undersøke nærmere.
Hvordan oppdage og fjerne Cobalt Strike-infeksjon fra en infisert maskin
1. Kjør en fullstendig systemskanning med oppdatert anti-malware-programvare. Dette vil oppdage og fjerne eventuelle manipulerte filer assosiert med Cobalt Strike malware.
2. Sjekk systemet for mistenkelige prosesser eller tjenester som kan kjøre i bakgrunnen. Hvis du finner noen, må du avslutte dem umiddelbart.
3. Slett alle mistenkelige filer eller mapper som er opprettet av Cobalt Strike-malware på datamaskinen din.
4. Endre alle passordene dine, spesielt de som er relatert til finansielle kontoer eller annen sensitiv informasjon.
5. Sørg for at operativsystemet og programmene er oppdatert med de nyeste sikkerhetsoppdateringene og oppdateringene fra produsentens nettsted.
6. Vurder å bruke en anerkjent brannmur og anti-malware-program for å beskytte datamaskinen mot fremtidige trusler som Cobalt Strike malware.
Innholdsfortegnelse
Analyserapport
Generell informasjon
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Filstørrelse:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Filstørrelse:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
