Kobalt

Kobalt Opis

Cobalt to infekcja złośliwym oprogramowaniem, która rozprzestrzenia się poprzez wykorzystanie luki w systemie Microsoft Windows, która istnieje od 17 lat w tym systemie operacyjnym. Chociaż luka wykorzystywana przez Cobalt, CVE-2017-11882, istnieje od 17 lat, została upubliczniona i załatana przez Microsoft dopiero w listopadzie 2017 roku. Wykorzystując tę lukę, cyberprzestępcy byli w stanie dostarczać zagrożenia za pomocą Cobalt Strike, narzędzie używane do testowania podatności.

Sekret kobaltu utrzymywany przez wiele lat

Cobalt jest dostarczany za pośrednictwem wiadomości e-mail będącej spamem, która wygląda jak powiadomienie od Visa (firmy obsługującej karty kredytowe), rzekomo ogłaszającej zmiany zasad w usłudze PayWave w Rosji. Ofiary otrzymują dokument RTF o nazwie „Изменения в системе безопасности.doc Visa payWave.doc” oraz plik archiwum o tej samej nazwie. Wysyłanie zagrożeń w postaci plików archiwalnych dołączanych do wiadomości e-mail to bardzo powszechna metoda ich dostarczania. Korzystanie z archiwów chronionych hasłem w przypadku tych ataków jest bezpiecznym sposobem zapobiegania analizowaniu pliku przez systemy automatycznej analizy, ponieważ wyodrębniają one plik w bezpiecznym środowisku w celu wykrycia zagrożeń. Istnieje jednak pewien aspekt socjotechniki, który zawiera zarówno uszkodzony plik DOC, jak i archiwum w tej samej wiadomości.

Po otwarciu szkodliwego dokumentu używanego do dostarczania Cobalt skrypt PowerShell działa w tle. Skrypt ten pobiera i instaluje Cobalt na komputerze ofiary, umożliwiając cyberprzestępcom przejęcie kontroli nad zainfekowanym komputerem. Podczas ataku Cobalt pobieranych i uruchamianych jest kilka skryptów, które ostatecznie pobierają i instalują Cobalt na komputerze ofiary. Po uruchomieniu exploita CVE-2017-11882 na zainfekowanym komputerze zamaskowany plik JavaScript jest pobierany, a następnie wykonywany na zainfekowanym komputerze. Spowoduje to pobranie kolejnego skryptu PowerShell, który następnie ładuje Cobalt bezpośrednio do pamięci zainfekowanego komputera. Chociaż skrypty PowerShell mogą być potężnym sposobem na wygodniejsze i wydajniejsze korzystanie z komputera, sposób, w jaki wchodzi on w interakcję z wewnętrznym działaniem komputera i ich mocą, sprawiły, że skrypty te są jednym z preferowanych narzędzi wykorzystywanych w atakach zagrożeń. Ponieważ Cobalt jest ładowany bezpośrednio do pamięci i żaden uszkodzony plik DLL nie jest zapisywany na dyskach twardych ofiary, utrudnia to programom antywirusowym wykrycie, że atak Cobalt jest przeprowadzany.

Jak atak kobaltu może wpłynąć na ciebie i twoją maszynę?

Po zainstalowaniu programu Cobalt na komputerze ofiary, Cobalt może być używany do kontrolowania zainfekowanego komputera, a także do instalowania tego zagrożenia na innych systemach komputerowych w tej samej sieci. Chociaż oficjalnie Cobalt Strike jest podobno narzędziem do testów penetracyjnych, w tym przypadku jest używany do przeprowadzania ataków zagrożeń. Cyberprzestępcy zawsze szukają nowych sposobów dostarczania zagrożeń. Podczas gdy nowe luki w zabezpieczeniach są dość groźne, bardzo stare luki, takie jak ta, które mogły nie zostać odpowiednio rozwiązane, również stanowią zagrożenie dla użytkowników komputerów. Pamiętaj, że wielu użytkowników komputerów nie aktualizuje regularnie swojego oprogramowania i systemu operacyjnego, co oznacza, że wiele komputerów jest podatnych na wiele dość starych exploitów, aw niektórych przypadkach zostaną przeoczone przez wiele programów antywirusowych.

Ochrona komputera przed zagrożeniem takim jak kobalt

Podobnie jak w przypadku większości zagrożeń, najlepszą ochroną przed Cobaltem i podobnymi zagrożeniami jest korzystanie z zaufanego programu zabezpieczającego. Ponieważ jednak w te ataki bierze udział stary exploit oprogramowania, analitycy bezpieczeństwa komputerów PC doradzają użytkownikom komputerów, aby upewnili się, że ich oprogramowanie i system operacyjny są w pełni zaktualizowane przy użyciu najnowszych poprawek zabezpieczeń. Może to pomóc użytkownikom komputerów w zapobieganiu zagrożeniom i innym problemom w takim samym stopniu, jak korzystanie z oprogramowania zabezpieczającego.