Кобальт

Cobalt - это вредоносное ПО, которое распространяется за счет использования уязвимости в Microsoft Windows, которая существует в этой операционной системе 17 лет. Хотя уязвимость CVE-2017-11882, используемая Cobalt, существует уже 17 лет, она была обнародована и исправлена Microsoft только в ноябре 2017 года. Используя эту уязвимость, киберпреступники смогли доставить угрозы с помощью Cobalt Strike, инструмент, используемый для тестирования уязвимостей.

Кобальтовый секрет, хранимый много лет

Cobalt доставляется через спам-сообщение электронной почты, которое выглядит как уведомление от Visa (компании, выпускающей кредитные карты), якобы объявляющей об изменении правил в ее сервисе PayWave в России. Пострадавшие получают документ в формате RTF «Изменения в системе безопасности.doc Visa payWave.doc», а также архивный файл с таким же именем. Отправка угроз в виде архивных файлов, прикрепленных к сообщениям электронной почты, является очень распространенным методом их доставки. Использование архивов, защищенных паролем, для этих атак - безопасный способ предотвратить анализ файла системами автоанализа, поскольку они будут извлекать файл в безопасной среде для обнаружения угроз. Однако есть своего рода аспект социальной инженерии, когда в одно сообщение включаются как поврежденный файл DOC, так и архив.

Когда вредоносный документ, используемый для доставки Cobalt, открывается, в фоновом режиме запускается сценарий PowerShell. Этот сценарий загружает и устанавливает Cobalt на компьютер жертвы, позволяя киберпреступникам взять под контроль зараженный компьютер. Во время атаки Cobalt загружаются и выполняются несколько сценариев, чтобы в конечном итоге загрузить и установить Cobalt на компьютер жертвы. Когда на зараженном компьютере срабатывает эксплойт CVE-2017-11882, на зараженном компьютере загружается обфусцированный файл JavaScript, который затем запускается. При этом загружается еще один сценарий PowerShell, который затем загружает Cobalt напрямую в память зараженного компьютера. Хотя сценарии PowerShell могут быть мощным способом сделать использование компьютера более удобным и эффективным, способ его взаимодействия с внутренними процессами компьютера и их мощность сделали эти сценарии одним из предпочтительных инструментов, используемых при атаках угроз. Поскольку Cobalt загружается в память напрямую, а поврежденные DLL-файлы не записываются на жесткие диски жертвы, это затрудняет обнаружение антивирусными программами атаки Cobalt.

Как атака кобальтом может повлиять на вас и вашу машину

После установки Cobalt на компьютер жертвы Cobalt можно использовать для управления зараженным компьютером, а также для установки этой угрозы на другие компьютерные системы в той же сети. Хотя официально Cobalt Strike якобы является инструментом для тестирования на проникновение, в данном случае он используется для проведения атак. Киберпреступники всегда ищут новые способы доставки угроз. Хотя новые уязвимости весьма опасны, очень старые уязвимости, подобные этой, которые, возможно, не были должным образом устранены изначально, также представляют угрозу для пользователей компьютеров. Помните, что многие пользователи компьютеров не могут регулярно исправлять свое программное обеспечение и операционную систему, а это означает, что многие ПК уязвимы для многих довольно старых эксплойтов, которые в некоторых случаях будут игнорироваться многими антивирусными программами.

Защита вашего компьютера от такой угрозы, как кобальт

Как и в случае с большинством угроз, использование надежной программы безопасности - лучшая защита от Cobalt и подобных угроз. Однако, поскольку в этих атаках задействован старый программный эксплойт, исследователи безопасности ПК советуют пользователям компьютеров убедиться, что их программное обеспечение и операционная система полностью обновлены самыми последними исправлениями безопасности. Это может помочь пользователям компьютеров предотвращать угрозы и другие проблемы, а также использовать программное обеспечение безопасности.