Cobalt Strike
Karta e rezultateve të kërcënimit
EnigmaSoft Threat Scorecard
Kartat e rezultateve të kërcënimit EnigmaSoft janë raporte vlerësimi për kërcënime të ndryshme malware, të cilat janë mbledhur dhe analizuar nga ekipi ynë i kërkimit. Kartat e rezultateve të EnigmaSoft Threat vlerësojnë dhe renditin kërcënimet duke përdorur disa metrika, duke përfshirë faktorët e rrezikut të botës reale dhe të mundshme, tendencat, shpeshtësinë, prevalencën dhe qëndrueshmërinë. Kartat e rezultateve të EnigmaSoft Threat përditësohen rregullisht bazuar në të dhënat dhe metrikat tona të kërkimit dhe janë të dobishme për një gamë të gjerë përdoruesish kompjuterësh, nga përdoruesit fundorë që kërkojnë zgjidhje për të hequr malware nga sistemet e tyre deri tek ekspertët e sigurisë që analizojnë kërcënimet.
Kartat e rezultateve të EnigmaSoft Threat shfaqin një sërë informacionesh të dobishme, duke përfshirë:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveli i ashpërsisë: Niveli i përcaktuar i ashpërsisë së një objekti, i përfaqësuar numerikisht, bazuar në procesin dhe kërkimin tonë të modelimit të rrezikut, siç shpjegohet në Kriteret tona të Vlerësimit të Kërcënimit .
Kompjuterët e infektuar: Numri i rasteve të konfirmuara dhe të dyshuara të një kërcënimi të veçantë të zbuluar në kompjuterët e infektuar siç raportohet nga SpyHunter.
Shihni gjithashtu Kriteret e Vlerësimit të Kërcënimit .
| Popularity Rank: | 12,709 |
| Niveli i Kërcënimit: | 80 % (Lartë) |
| Kompjuterët e infektuar: | 100 |
| Parë për herë të parë: | October 29, 2021 |
| Parë për herë të fundit: | January 15, 2026 |
| OS/OS të prekura: | Windows |
Malware Cobalt Strike është një softuer kërcënues që përdoret për të synuar institucionet financiare dhe organizata të tjera dhe mund të infektojë kompjuterët që përdorin sistemet Windows, Linux dhe Mac OS X. Ai u zbulua për herë të parë në vitin 2012 dhe besohet të jetë vepër e një grupi të krimit kibernetik rusisht-folës i njohur si Grupi i Kobaltit. Malware është krijuar për të mbledhur para nga bankat, ATM-të dhe institucionet e tjera financiare duke shfrytëzuar dobësitë në sistemet e tyre. Ai ka qenë i lidhur me disa sulme të profilit të lartë, duke përfshirë një në Bankën e Bangladeshit në vitin 2016 që rezultoi në vjedhjen e 81 milionë dollarëve. Cobalt Strike gjithashtu mund të përdoret për ekfiltrim të të dhënave, sulme ransomware dhe sulme të mohimit të shërbimit të shpërndarë (DDoS).
Si një kompjuter infektohet me malware të Cobalt Strike
Malware-i Cobalt Strike zakonisht përhapet përmes emaileve ose faqeve të internetit të korruptuara. Emailet mund të përmbajnë lidhje me faqet e internetit të pasigurta, të cilat më pas mund të shkarkojnë Cobalt Strike në një kompjuter. Për më tepër, Cobalt Strike mund të përhapet përmes shkarkimeve me makinë, ku një përdorues që nuk dyshon viziton një faqe interneti që është infektuar me kërcënimin. Pasi të instalohet në një kompjuter, Cobalt Strike mund të përdoret më pas për të mbledhur të dhëna dhe para nga institucionet financiare.
Pse hakerëve u pëlqen të përdorin goditjen e kobaltit në sulmet e tyre?
Hakerët përdorin Cobalt Strike për një sërë arsyesh. Është një mjet i avancuar që u lejon atyre të kenë akses në rrjete, të nisin sulmet e mohimit të shërbimit të shpërndarë (DDoS) dhe të nxjerrin të dhëna. Ai gjithashtu ka aftësinë për të anashkaluar masat e sigurisë si muret e zjarrit dhe programet e sigurisë. Për më tepër, mund të përdoret për të krijuar ngarkesa të dëmshme që mund të përdoren në fushata phishing ose sulme të tjera kibernetike. Së fundi, Cobalt Strike është relativisht i lehtë për t'u përdorur dhe mund të vendoset shpejt për të kryer një sulm.
A ka malware të tjerë si goditja e kobaltit?
Po, ka kërcënime të tjera malware që janë të ngjashme me Cobalt Strike. Disa prej tyre përfshijnë Emotet , Trickbot dhe Ryuk . Emotet është një Trojan bankar që përdoret për të mbledhur informacion financiar nga viktimat. Trickbot është një trojan bankar modular që mund të përdoret për ekfiltrim të të dhënave dhe sulme ransomware. Ryuk është një lloj ransomware që është lidhur me disa sulme të profilit të lartë ndaj organizatave në mbarë botën. Të gjitha këto kërcënime kanë potencialin të shkaktojnë dëme të konsiderueshme nëse nuk trajtohen siç duhet.
Simptomat e një infeksioni nga goditja e kobaltit
Simptomat e një infeksioni nga malware Cobalt Strike përfshijnë performancën e ngadaltë të kompjuterit, dritare të papritura që shfaqen dhe skedarë ose dosje të çuditshme që shfaqen në kompjuter. Për më tepër, përdoruesit mund të kenë vështirësi për të hyrë në uebsajte ose aplikacione të caktuara, si dhe në marrjen e emaileve me bashkëngjitje të dyshimta. Nëse një përdorues vëren ndonjë nga këto simptoma, ai duhet të kontaktojë menjëherë departamentin e tij të IT ose ofruesin e sigurisë për të hetuar më tej.
Si të zbuloni dhe hiqni infeksionin e goditjes së kobaltit nga një makinë e infektuar
1. Kryeni një skanim të plotë të sistemit me softuer të përditësuar kundër malware. Kjo do të zbulojë dhe heqë çdo skedar të manipuluar të lidhur me programin keqdashës Cobalt Strike.
2. Kontrolloni sistemin tuaj për çdo proces ose shërbim të dyshimtë që mund të funksionojë në sfond. Nëse gjeni ndonjë, ndërprisni menjëherë.
3. Fshini çdo skedar ose dosje të dyshimtë që është krijuar nga programi keqdashës Cobalt Strike në kompjuterin tuaj.
4. Ndryshoni të gjitha fjalëkalimet tuaja, veçanërisht ato që lidhen me llogaritë financiare ose informacione të tjera të ndjeshme.
5. Sigurohuni që sistemi operativ dhe aplikacionet tuaja të jenë të përditësuara me arnimet dhe përditësimet më të fundit të sigurisë nga faqja e internetit e prodhuesit.
6. Konsideroni përdorimin e një muri mbrojtës me reputacion dhe program anti-malware për të mbrojtur kompjuterin tuaj nga kërcënimet e ardhshme si malware Cobalt Strike.
Tabela e Përmbajtjes
Raporti i analizës
Informacion i pergjithshem
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Madhësia e skedarit:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Madhësia e skedarit:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
