Cobalt Strike
Prehľad hrozieb
Prehľad hrozieb EnigmaSoft
EnigmaSoft Threat Scorecards sú hodnotiace správy pre rôzne malvérové hrozby, ktoré zhromaždil a analyzoval náš výskumný tím. EnigmaSoft Threat Scorecards vyhodnocujú a hodnotia hrozby pomocou niekoľkých metrík vrátane skutočných a potenciálnych rizikových faktorov, trendov, frekvencie, prevalencie a pretrvávania. Prehľady hrozieb EnigmaSoft sa pravidelne aktualizujú na základe našich výskumných údajov a metrík a sú užitočné pre širokú škálu používateľov počítačov, od koncových používateľov, ktorí hľadajú riešenia na odstránenie škodlivého softvéru zo svojich systémov, až po bezpečnostných expertov analyzujúcich hrozby.
EnigmaSoft Threat Scorecards zobrazuje množstvo užitočných informácií, vrátane:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjadrená číselne, na základe nášho procesu modelovania rizika a výskumu, ako je vysvetlené v našich kritériách hodnotenia hrozieb .
Infikované počítače: Počet potvrdených a podozrivých prípadov konkrétnej hrozby zistených na infikovaných počítačoch podľa správy SpyHunter.
Pozri tiež Kritériá hodnotenia hrozieb .
| Popularity Rank: | 12,709 |
| Stupeň ohrozenia: | 80 % (Vysoká) |
| Infikované počítače: | 100 |
| Prvýkrát videný: | October 29, 2021 |
| Naposledy videný: | January 15, 2026 |
| Ovplyvnené OS: | Windows |
Malvér Cobalt Strike je hrozivý softvér, ktorý sa používa na zacielenie na finančné inštitúcie a iné organizácie a môže infikovať počítače používajúce systémy Windows, Linux a Mac OS X. Prvýkrát bol objavený v roku 2012 a predpokladá sa, že je dielom rusky hovoriacej skupiny zaoberajúcej sa počítačovou kriminalitou známej ako Cobalt Group. Malvér je navrhnutý tak, aby zbieral peniaze z bánk, bankomatov a iných finančných inštitúcií využívaním zraniteľností v ich systémoch. Súvisí s niekoľkými významnými útokmi vrátane jedného na Bangladéšsku banku v roku 2016, ktoré viedli ku krádeži 81 miliónov dolárov. Cobalt Strike možno použiť aj na exfiltráciu údajov, útoky ransomware a útoky DDoS (Distributed Denial-of-Service).
Ako sa počítač nakazí malvérom Cobalt Strike
Malvér Cobalt Strike sa zvyčajne šíri prostredníctvom poškodených e-mailov alebo webových stránok. E-maily môžu obsahovať odkazy na nebezpečné webové stránky, ktoré si potom môžu stiahnuť Cobalt Strike do počítača. Okrem toho sa Cobalt Strike môže šíriť prostredníctvom sťahovania z auta, kde nič netušiaci používateľ navštívi webovú stránku, ktorá bola infikovaná hrozbou. Po nainštalovaní do počítača je možné Cobalt Strike použiť na zhromažďovanie údajov a peňazí od finančných inštitúcií.
Prečo hackeri pri svojich útokoch radi používajú Cobalt Strike?
Hackeri používajú Cobalt Strike z rôznych dôvodov. Ide o pokročilý nástroj, ktorý im umožňuje získať prístup k sieťam, spúšťať útoky DDoS (Distributed Denial-of-Service) a exfiltrovať dáta. Má tiež schopnosť obísť bezpečnostné opatrenia, ako sú brány firewall a bezpečnostný softvér. Okrem toho sa dá použiť na vytváranie škodlivých nákladov, ktoré možno použiť pri phishingových kampaniach alebo iných kybernetických útokoch. Napokon, Cobalt Strike sa relatívne ľahko používa a dá sa rýchlo nasadiť na vykonanie útoku.
Existuje iný malvér ako Cobalt Strike?
Áno, existujú aj iné hrozby škodlivého softvéru, ktoré sú podobné Cobalt Strike. Niektoré z nich zahŕňajú Emotet , Trickbot a Ryuk . Emotet je bankový trójsky kôň, ktorý sa používa na zhromažďovanie finančných informácií od obetí. Trickbot je modulárny bankový trójsky kôň, ktorý možno použiť na exfiltráciu údajov a útoky ransomware. Ryuk je ransomvérový kmeň, ktorý je spojený s niekoľkými významnými útokmi na organizácie po celom svete. Všetky tieto hrozby majú potenciál spôsobiť značné škody, ak nie sú správne riešené.
Príznaky infekcie Cobalt Strike
Príznaky infekcie malvérom Cobalt Strike zahŕňajú pomalý výkon počítača, neočakávané kontextové okná a podivné súbory alebo priečinky, ktoré sa objavujú v počítači. Okrem toho môžu mať používatelia problémy s prístupom k určitým webovým stránkam alebo aplikáciám, ako aj s prijímaním e-mailov s podozrivými prílohami. Ak používateľ spozoruje niektorý z týchto príznakov, mal by okamžite kontaktovať svoje IT oddelenie alebo poskytovateľa zabezpečenia, aby to ďalej preskúmal.
Ako zistiť a odstrániť infekciu Cobalt Strike z infikovaného stroja
1. Spustite úplnú kontrolu systému s aktualizovaným antimalvérovým softvérom. Toto zistí a odstráni všetky sfalšované súbory spojené s malvérom Cobalt Strike.
2. Skontrolujte, či váš systém neobsahuje podozrivé procesy alebo služby, ktoré môžu bežať na pozadí. Ak nejaké nájdete, okamžite ich ukončite.
3. Odstráňte všetky podozrivé súbory alebo priečinky, ktoré boli vytvorené škodlivým softvérom Cobalt Strike vo vašom počítači.
4. Zmeňte všetky svoje heslá, najmä tie, ktoré sa týkajú finančných účtov alebo iných citlivých informácií.
5. Uistite sa, že váš operačný systém a aplikácie sú aktuálne s najnovšími bezpečnostnými záplatami a aktualizáciami z webovej stránky výrobcu.
6. Zvážte použitie renomovaného firewallu a antimalvérového programu na ochranu vášho počítača pred budúcimi hrozbami, ako je malvér Cobalt Strike.
Obsah
Správa o analýze
Všeobecné informácie
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Veľkosť súboru:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Veľkosť súboru:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
