Cobalt Strike
Тхреат Сцорецард
ЕнигмаСофт Тхреат Сцорецард
ЕнигмаСофт Тхреат Сцорецардс су извештаји о процени различитих претњи од малвера које је прикупио и анализирао наш истраживачки тим. ЕнигмаСофт Тхреат Сцорецардс процењује и рангира претње користећи неколико метрика укључујући стварне и потенцијалне факторе ризика, трендове, учесталост, распрострањеност и постојаност. ЕнигмаСофт картице са резултатима за претње се редовно ажурирају на основу наших истраживачких података и метрика и корисне су за широк спектар корисника рачунара, од крајњих корисника који траже решења за уклањање малвера из својих система до стручњака за безбедност који анализирају претње.
ЕнигмаСофт Тхреат Сцорецардс приказују низ корисних информација, укључујући:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Ниво озбиљности: Утврђени ниво озбиљности објекта, представљен нумерички, на основу нашег процеса моделирања ризика и истраживања, као што је објашњено у нашим Критеријумима за процену претње .
Заражени рачунари: Број потврђених и сумњивих случајева одређене претње откривених на зараженим рачунарима према извештају СпиХунтер.
Такође погледајте Критеријуми за процену претње .
| Popularity Rank: | 12,709 |
| Ниво претње: | 80 % (Високо) |
| Заражени рачунари: | 100 |
| Први пут виђено: | October 29, 2021 |
| Последњи пут виђен: | January 15, 2026 |
| ОС на које утиче: | Windows |
Малвер Цобалт Стрике је претећи софтвер који се користи за циљање финансијских институција и других организација и може да зарази рачунаре који користе Виндовс, Линук и Мац ОС Кс системе. Први пут је откривен 2012. године и верује се да је дело групе за сајбер криминал на руском језику познате као Цобалт Гроуп. Малвер је дизајниран да прикупља новац од банака, банкомата и других финансијских институција искоришћавањем рањивости у њиховим системима. Повезан је са неколико напада високог профила, укључујући онај на Банку Бангладеша 2016. који је резултирао крађом 81 милион долара. Цобалт Стрике се такође може користити за ексфилтрацију података, нападе рансомваре-а и нападе дистрибуираног ускраћивања услуге (ДДоС).
Како се рачунар зарази злонамерним софтвером Цобалт Стрике
Злонамерни софтвер Цобалт Стрике се обично шири преко оштећених имејлова или веб локација. Е-поруке могу садржати везе ка небезбедним веб локацијама, које затим могу преузети Цобалт Стрике на рачунар. Поред тога, Цобалт Стрике се може ширити путем преузимања, где ништа не сумњајући корисник посећује веб локацију која је заражена претњом. Једном инсталиран на рачунар, Цобалт Стрике се може користити за прикупљање података и новца од финансијских институција.
Зашто хакери воле да користе Цобалт Стрике у својим нападима?
Хакери користе Цобалт Стрике из разних разлога. То је напредни алат који им омогућава да добију приступ мрежама, покрену нападе дистрибуираног ускраћивања услуге (ДДоС) и ексфилтрирају податке. Такође има могућност да заобиђе безбедносне мере као што су заштитни зидови и безбедносни софтвер. Поред тога, може се користити за креирање штетних корисних података који се могу користити у пхисхинг кампањама или другим сајбер нападима. Коначно, Цобалт Стрике је релативно једноставан за коришћење и може се брзо применити за извођење напада.
Постоји ли други злонамерни софтвер као што је Цобалт Стрике?
Да, постоје и друге претње од малвера које су сличне Цобалт Стрике-у. Неки од њих укључују Емотет , Трицкбот и Риук . Емотет је банкарски тројанац који се користи за прикупљање финансијских информација од жртава. Трицкбот је модуларни банкарски тројанац који се може користити за ексфилтрацију података и нападе рансомваре-а. Риук је врста рансомваре-а која је повезана са неколико напада високог профила на организације широм света. Све ове претње могу да изазову значајну штету ако се не реше на одговарајући начин.
Симптоми инфекције кобалтним ударом
Симптоми заразе малвером Цобалт Стрике укључују споре перформансе рачунара, неочекиване искачуће прозоре и чудне датотеке или фасцикле које се појављују на рачунару. Поред тога, корисници могу имати потешкоћа да приступе одређеним веб локацијама или апликацијама, као и да примају е-пошту са сумњивим прилозима. Ако корисник примети било који од ових симптома, требало би да одмах контактира ИТ одељење или провајдера безбедности ради даље истраге.
Како открити и уклонити инфекцију кобалтним ударом са заражене машине
1. Покрените потпуно скенирање система са ажурираним софтвером за заштиту од малвера. Ово ће открити и уклонити све неовлаштене датотеке повезане са малвером Цобалт Стрике.
2. Проверите да ли у вашем систему постоје сумњиви процеси или услуге које можда раде у позадини. Ако их пронађете, одмах их укините.
3. Избришите све сумњиве датотеке или фасцикле које је направио Цобалт Стрике малвер на вашем рачунару.
4. Промените све своје лозинке, посебно оне које се односе на финансијске рачуне или друге осетљиве информације.
5. Уверите се да су ваш оперативни систем и апликације ажурирани са најновијим безбедносним закрпама и ажурирањима са веб локације произвођача.
6. Размислите о коришћењу реномираних заштитних зидова и програма против малвера да бисте заштитили рачунар од будућих претњи као што је малвер Цобалт Стрике.
Преглед садржаја
Извештај о анализи
Опште информације
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
МД5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Величина фајла:
19.46 KB, 19456 bytes
|
|
МД5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Величина фајла:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
