Kobalt
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Ranking: Ranking konkretnego zagrożenia w bazie danych zagrożeń EnigmaSoft.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
Zaszeregowanie: | 4,110 |
Poziom zagrożenia: | 20 % (Normalna) |
Zainfekowane komputery: | 2,252 |
Pierwszy widziany: | May 5, 2022 |
Ostatnio widziany: | September 20, 2023 |
Systemy operacyjne, których dotyczy problem: | Windows |
Cobalt to infekcja złośliwym oprogramowaniem, która rozprzestrzenia się poprzez wykorzystanie luki w systemie Microsoft Windows, która istnieje od 17 lat w tym systemie operacyjnym. Chociaż luka wykorzystywana przez Cobalt, CVE-2017-11882, istnieje od 17 lat, została upubliczniona i załatana przez Microsoft dopiero w listopadzie 2017 roku. Wykorzystując tę lukę, cyberprzestępcy byli w stanie dostarczać zagrożenia za pomocą Cobalt Strike, narzędzie używane do testowania podatności.
Spis treści
Sekret kobaltu utrzymywany przez wiele lat
Cobalt jest dostarczany za pośrednictwem wiadomości e-mail będącej spamem, która wygląda jak powiadomienie od Visa (firmy obsługującej karty kredytowe), rzekomo ogłaszającej zmiany zasad w usłudze PayWave w Rosji. Ofiary otrzymują dokument RTF o nazwie „Изменения в системе безопасности.doc Visa payWave.doc” oraz plik archiwum o tej samej nazwie. Wysyłanie zagrożeń w postaci plików archiwalnych dołączanych do wiadomości e-mail to bardzo powszechna metoda ich dostarczania. Korzystanie z archiwów chronionych hasłem w przypadku tych ataków jest bezpiecznym sposobem zapobiegania analizowaniu pliku przez systemy automatycznej analizy, ponieważ wyodrębniają one plik w bezpiecznym środowisku w celu wykrycia zagrożeń. Istnieje jednak pewien aspekt socjotechniki, który zawiera zarówno uszkodzony plik DOC, jak i archiwum w tej samej wiadomości.
Po otwarciu szkodliwego dokumentu używanego do dostarczania Cobalt skrypt PowerShell działa w tle. Skrypt ten pobiera i instaluje Cobalt na komputerze ofiary, umożliwiając cyberprzestępcom przejęcie kontroli nad zainfekowanym komputerem. Podczas ataku Cobalt pobieranych i uruchamianych jest kilka skryptów, które ostatecznie pobierają i instalują Cobalt na komputerze ofiary. Po uruchomieniu exploita CVE-2017-11882 na zainfekowanym komputerze zamaskowany plik JavaScript jest pobierany, a następnie wykonywany na zainfekowanym komputerze. Spowoduje to pobranie kolejnego skryptu PowerShell, który następnie ładuje Cobalt bezpośrednio do pamięci zainfekowanego komputera. Chociaż skrypty PowerShell mogą być potężnym sposobem na wygodniejsze i wydajniejsze korzystanie z komputera, sposób, w jaki wchodzi on w interakcję z wewnętrznym działaniem komputera i ich mocą, sprawiły, że skrypty te są jednym z preferowanych narzędzi wykorzystywanych w atakach zagrożeń. Ponieważ Cobalt jest ładowany bezpośrednio do pamięci i żaden uszkodzony plik DLL nie jest zapisywany na dyskach twardych ofiary, utrudnia to programom antywirusowym wykrycie, że atak Cobalt jest przeprowadzany.
Jak atak kobaltu może wpłynąć na ciebie i twoją maszynę?
Po zainstalowaniu programu Cobalt na komputerze ofiary, Cobalt może być używany do kontrolowania zainfekowanego komputera, a także do instalowania tego zagrożenia na innych systemach komputerowych w tej samej sieci. Chociaż oficjalnie Cobalt Strike jest podobno narzędziem do testów penetracyjnych, w tym przypadku jest używany do przeprowadzania ataków zagrożeń. Cyberprzestępcy zawsze szukają nowych sposobów dostarczania zagrożeń. Podczas gdy nowe luki w zabezpieczeniach są dość groźne, bardzo stare luki, takie jak ta, które mogły nie zostać odpowiednio rozwiązane, również stanowią zagrożenie dla użytkowników komputerów. Pamiętaj, że wielu użytkowników komputerów nie aktualizuje regularnie swojego oprogramowania i systemu operacyjnego, co oznacza, że wiele komputerów jest podatnych na wiele dość starych exploitów, aw niektórych przypadkach zostaną przeoczone przez wiele programów antywirusowych.
Ochrona komputera przed zagrożeniem takim jak kobalt
Podobnie jak w przypadku większości zagrożeń, najlepszą ochroną przed Cobaltem i podobnymi zagrożeniami jest korzystanie z zaufanego programu zabezpieczającego. Ponieważ jednak w te ataki bierze udział stary exploit oprogramowania, analitycy bezpieczeństwa komputerów PC doradzają użytkownikom komputerów, aby upewnili się, że ich oprogramowanie i system operacyjny są w pełni zaktualizowane przy użyciu najnowszych poprawek zabezpieczeń. Może to pomóc użytkownikom komputerów w zapobieganiu zagrożeniom i innym problemom w takim samym stopniu, jak korzystanie z oprogramowania zabezpieczającego.
adresy URL
Kobalt może dzwonić pod następujące adresy URL:
betaengine.org |