Cobalt Strike
Scorekort för hot
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards är utvärderingsrapporter för olika skadliga hot som har samlats in och analyserats av vårt forskarteam. EnigmaSoft Threat Scorecards utvärderar och rangordnar hot med hjälp av flera mätvärden inklusive verkliga och potentiella riskfaktorer, trender, frekvens, prevalens och persistens. EnigmaSoft Threat Scorecards uppdateras regelbundet baserat på våra forskningsdata och mätvärden och är användbara för ett brett spektrum av datoranvändare, från slutanvändare som söker lösningar för att ta bort skadlig programvara från sina system till säkerhetsexperter som analyserar hot.
EnigmaSoft Threat Scorecards visar en mängd användbar information, inklusive:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Allvarlighetsnivå: Den fastställda svårighetsgraden för ett objekt, representerad numeriskt, baserat på vår riskmodelleringsprocess och forskning, som förklaras i våra hotbedömningskriterier .
Infekterade datorer: Antalet bekräftade och misstänkta fall av ett visst hot som upptäckts på infekterade datorer som rapporterats av SpyHunter.
Se även Kriterier för hotbedömning .
| Popularity Rank: | 12,709 |
| Hotnivå: | 80 % (Hög) |
| Infekterade datorer: | 100 |
| Först sett: | October 29, 2021 |
| Senast sedd: | January 15, 2026 |
| Operativsystem som påverkas: | Windows |
Cobalt Strike malware är en hotfull programvara som används för att rikta in sig på finansiella institutioner och andra organisationer och kan infektera datorer som använder Windows, Linux och Mac OS X-system. Det upptäcktes först 2012 och tros vara ett arbete av en rysktalande cyberbrottsgrupp känd som Cobalt Group. Skadlig programvara är utformad för att samla in pengar från banker, bankomater och andra finansiella institutioner genom att utnyttja sårbarheter i deras system. Det har kopplats till flera högprofilerade attacker, inklusive en mot Bank of Bangladesh 2016 som resulterade i stöld av 81 miljoner dollar. Cobalt Strike kan också användas för dataexfiltrering, ransomware-attacker och DDoS-attacker (Distributed Denial-of-Service).
Hur en dator blir infekterad med Cobalt Strike Malware
Cobalt Strike malware sprids vanligtvis via korrupta e-postmeddelanden eller webbplatser. E-postmeddelandena kan innehålla länkar till osäkra webbplatser, som sedan kan ladda ner Cobalt Strike till en dator. Dessutom kan Cobalt Strike spridas genom drive-by-nedladdningar, där en intet ont anande användare besöker en webbplats som har infekterats med hotet. När den väl har installerats på en dator kan Cobalt Strike sedan användas för att samla in data och pengar från finansiella institutioner.
Varför gillar hackare att använda Cobalt Strike i sina attacker?
Hackare använder Cobalt Strike av en mängd olika anledningar. Det är ett avancerat verktyg som låter dem få tillgång till nätverk, starta DDoS-attacker (Distributed Denial-of-Service) och exfiltrera data. Den har också förmågan att kringgå säkerhetsåtgärder som brandväggar och säkerhetsprogramvara. Dessutom kan den användas för att skapa skadliga nyttolaster som kan användas i nätfiskekampanjer eller andra cyberattacker. Slutligen är Cobalt Strike relativt lätt att använda och kan snabbt sättas in för att utföra en attack.
Finns det annan skadlig programvara som Cobalt Strike?
Ja, det finns andra skadliga hot som liknar Cobalt Strike. Några av dessa inkluderar Emotet , Trickbot och Ryuk . Emotet är en banktrojan som används för att samla in finansiell information från offer. Trickbot är en modulär banktrojan som kan användas för dataexfiltrering och ransomware-attacker. Ryuk är en ransomware-stam som har kopplats till flera högprofilerade attacker mot organisationer runt om i världen. Alla dessa hot har potential att orsaka betydande skada om de inte åtgärdas korrekt.
Symtom på en infektion av koboltstrejken
Symtom på en infektion av Cobalt Strike malware inkluderar långsam datorprestanda, oväntade popup-fönster och konstiga filer eller mappar som visas på datorn. Dessutom kan användare uppleva svårigheter med att komma åt vissa webbplatser eller applikationer, samt få e-postmeddelanden med misstänkta bilagor. Om en användare märker något av dessa symtom bör de omedelbart kontakta sin IT-avdelning eller säkerhetsleverantör för att undersöka ytterligare.
Hur man upptäcker och tar bort Cobalt Strike-infektionen från en infekterad maskin
1. Kör en fullständig genomsökning av systemet med uppdaterad programvara mot skadlig programvara. Detta kommer att upptäcka och ta bort alla manipulerade filer som är associerade med Cobalt Strike malware.
2. Kontrollera ditt system för eventuella misstänkta processer eller tjänster som kan köras i bakgrunden. Om du hittar några, avsluta dem omedelbart.
3. Ta bort alla misstänkta filer eller mappar som har skapats av Cobalt Strike malware på din dator.
4. Ändra alla dina lösenord, särskilt de som är relaterade till finansiella konton eller annan känslig information.
5. Se till att ditt operativsystem och dina applikationer är uppdaterade med de senaste säkerhetskorrigeringarna och uppdateringarna från tillverkarens webbplats.
6. Överväg att använda en ansedd brandvägg och anti-malware-program för att skydda din dator från framtida hot som Cobalt Strike malware.
Innehållsförteckning
Analys rapport
Allmän information
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Filstorlek:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Filstorlek:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
