Kobalt

Kobalt Beschrijving

Cobalt is een malware-infectie die zich verspreidt door gebruik te maken van een kwetsbaarheid in Microsoft Windows die al 17 jaar bestaat in dit besturingssysteem. Hoewel de kwetsbaarheid die wordt gebruikt door Cobalt, CVE-2017-11882, al 17 jaar bestaat, werd deze pas in november 2017 openbaar gemaakt en gepatcht door Microsoft. Met behulp van deze kwetsbaarheid konden de cybercriminelen bedreigingen afleveren met behulp van de Cobalt Strike, een tool die wordt gebruikt om kwetsbaarheden te testen.

Een kobaltgeheim dat vele jaren bewaard is gebleven

Cobalt wordt bezorgd via een spam-e-mailbericht dat eruitziet als een melding van Visa (de creditcardmaatschappij), die zogenaamd regelwijzigingen aankondigt in zijn PayWave-service in Rusland. Slachtoffers ontvangen een RTF-document met de naam 'Изменения в системе безопасности.doc Visa payWave.doc', evenals een archiefbestand met dezelfde naam. Het verzenden van bedreigingen in de vorm van archiefbestanden als bijlage bij e-mailberichten is een veelgebruikte methode om ze af te leveren. Het gebruik van met een wachtwoord beveiligde archieven voor deze aanvallen is een veilige manier om te voorkomen dat auto-analysesystemen het bestand analyseren, aangezien ze het bestand in een veilige omgeving uitpakken om bedreigingen te detecteren. Er is echter iets van een social engineering-aspect door zowel het beschadigde DOC-bestand als het archief in hetzelfde bericht op te nemen.

Wanneer het schadelijke document dat wordt gebruikt om Cobalt af te leveren, wordt geopend, wordt er een PowerShell-script op de achtergrond uitgevoerd. Dit script downloadt en installeert Cobalt op de computer van het slachtoffer, waardoor de cybercriminelen de geïnfecteerde computer kunnen overnemen. Tijdens de Cobalt-aanval worden verschillende scripts gedownload en uitgevoerd om Cobalt uiteindelijk te downloaden en te installeren op de computer van het slachtoffer. Wanneer de exploit CVE-2017-11882 wordt geactiveerd op de geïnfecteerde computer, wordt een versluierd JavaScript-bestand gedownload en vervolgens uitgevoerd op de geïnfecteerde computer. Hiermee wordt een ander PowerShell-script gedownload, dat Cobalt vervolgens rechtstreeks in het geheugen van de geïnfecteerde computer laadt. Hoewel PowerShell-scripts een krachtige manier kunnen zijn om het gebruik van een computer gemakkelijker en efficiënter te maken, heeft de manier waarop het interageert met de interne werking van een computer en hun kracht deze scripts tot een van de voorkeurstools gemaakt die worden gebruikt bij bedreigingsaanvallen. Aangezien Cobalt rechtstreeks in het geheugen wordt geladen en er geen beschadigd DLL-bestand naar de harde schijven van het slachtoffer wordt geschreven, maakt dit het voor antivirusprogramma's moeilijker om te detecteren dat de Cobalt-aanval wordt uitgevoerd.

Hoe de kobaltaanval u en uw machine kan beïnvloeden

Zodra Cobalt op de computer van het slachtoffer is geïnstalleerd, kan Cobalt worden gebruikt om de geïnfecteerde computer te besturen en om deze dreiging op andere computersystemen op hetzelfde netwerk te installeren. Hoewel officieel Cobalt Strike vermoedelijk een hulpmiddel is voor penetratietesten, wordt het in dit geval gebruikt om bedreigingsaanvallen uit te voeren. De cybercriminelen zijn altijd op zoek naar nieuwe manieren om bedreigingen af te leveren. Hoewel nieuwe kwetsbaarheden behoorlijk bedreigend zijn, vormen zeer oude kwetsbaarheden zoals deze, die oorspronkelijk misschien niet goed zijn aangepakt, ook een bedreiging voor computergebruikers. Onthoud dat veel computergebruikers hun software en besturingssysteem niet regelmatig patchen, wat betekent dat veel pc's kwetsbaar zijn voor vele exploits die vrij oud zijn en in sommige gevallen over het hoofd worden gezien door veel antivirusprogramma's.

Uw computer beschermen tegen een bedreiging zoals kobalt

Zoals bij de meeste bedreigingen, is het gebruik van een betrouwbaar beveiligingsprogramma de beste bescherming tegen Cobalt en soortgelijke bedreigingen. Omdat bij deze aanvallen echter sprake is van een oude software-exploit, adviseren pc-beveiligingsonderzoekers computergebruikers ervoor te zorgen dat hun software en besturingssysteem volledig zijn bijgewerkt met de meest recente beveiligingspatches. Dit kan computergebruikers net zo goed helpen om bedreigingen en andere problemen te voorkomen als het gebruik van beveiligingssoftware.