Cobalt Strike
Banta ng Scorecard
EnigmaSoft Threat Scorecard
Ang EnigmaSoft Threat Scorecards ay mga ulat sa pagtatasa para sa iba't ibang banta ng malware na nakolekta at nasuri ng aming research team. Ang EnigmaSoft Threat Scorecards ay sinusuri at niraranggo ang mga banta gamit ang ilang sukatan kabilang ang totoong mundo at potensyal na mga kadahilanan ng panganib, mga uso, dalas, pagkalat, at pagtitiyaga. Regular na ina-update ang EnigmaSoft Threat Scorecards batay sa aming data at sukatan ng pananaliksik at kapaki-pakinabang para sa malawak na hanay ng mga user ng computer, mula sa mga end user na naghahanap ng mga solusyon upang alisin ang malware sa kanilang mga system hanggang sa mga eksperto sa seguridad na nagsusuri ng mga banta.
Ang EnigmaSoft Threat Scorecards ay nagpapakita ng iba't ibang kapaki-pakinabang na impormasyon, kabilang ang:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Antas ng Kalubhaan: Ang tinutukoy na antas ng kalubhaan ng isang bagay, na kinakatawan ayon sa numero, batay sa aming proseso sa pagmomodelo ng panganib at pananaliksik, gaya ng ipinaliwanag sa aming Pamantayan sa Pagtatasa ng Banta .
Mga Infected na Computer: Ang bilang ng mga nakumpirma at pinaghihinalaang kaso ng isang partikular na banta na nakita sa mga infected na computer gaya ng iniulat ng SpyHunter.
Tingnan din ang Pamantayan sa Pagtatasa ng Banta .
| Popularity Rank: | 12,709 |
| Antas ng Banta: | 80 % (Mataas) |
| Mga Infected na Computer: | 100 |
| Unang Nakita: | October 29, 2021 |
| Huling nakita: | January 15, 2026 |
| Apektado ang (mga) OS: | Windows |
Ang Cobalt Strike malware ay isang nagbabantang software na ginagamit upang i-target ang mga institusyong pampinansyal at iba pang organisasyon at maaaring makahawa sa mga computer gamit ang Windows, Linux at Mac OS X system. Una itong natuklasan noong 2012 at pinaniniwalaang gawa ng isang cybercrime group na nagsasalita ng Russian na kilala bilang Cobalt Group. Ang malware ay idinisenyo upang mangolekta ng pera mula sa mga bangko, ATM, at iba pang institusyong pinansyal sa pamamagitan ng pagsasamantala sa mga kahinaan sa kanilang mga system. Na-link ito sa ilang high-profile na pag-atake, kabilang ang isa sa Bank of Bangladesh noong 2016 na nagresulta sa pagnanakaw ng $81 milyon. Ang Cobalt Strike ay magagamit din para sa data exfiltration, ransomware attacks, at Distributed Denial-of-Service (DDoS) attacks.
Paano Naimpeksyon ang isang Computer ng Cobalt Strike Malware
Ang Cobalt Strike malware ay karaniwang kumakalat sa pamamagitan ng mga sirang email o website. Ang mga email ay maaaring maglaman ng mga link sa hindi ligtas na mga website, na maaaring mag-download ng Cobalt Strike sa isang computer. Bukod pa rito, ang Cobalt Strike ay maaaring ikalat sa pamamagitan ng mga drive-by na pag-download, kung saan binisita ng isang hindi pinaghihinalaang user ang isang website na nahawahan ng banta. Sa sandaling naka-install sa isang computer, ang Cobalt Strike ay maaaring gamitin upang mangolekta ng data at pera mula sa mga institusyong pampinansyal.
Bakit Gustong Gamitin ng mga Hacker ang Cobalt Strike sa Kanilang mga Pag-atake?
Ginagamit ng mga hacker ang Cobalt Strike para sa iba't ibang dahilan. Isa itong advanced na tool na nagbibigay-daan sa kanila na magkaroon ng access sa mga network, maglunsad ng mga Distributed Denial-of-Service (DDoS) na pag-atake, at mag-exfiltrate ng data. Mayroon din itong kakayahang i-bypass ang mga hakbang sa seguridad tulad ng mga firewall at software ng seguridad. Bukod pa rito, maaari itong magamit upang lumikha ng mga mapaminsalang payload na maaaring magamit sa mga kampanyang phishing o iba pang cyberattack. Sa wakas, ang Cobalt Strike ay medyo madaling gamitin at maaaring mabilis na i-deploy upang magsagawa ng pag-atake.
Mayroon bang Iba pang Malware Tulad ng Cobalt Strike?
Oo, may iba pang banta sa malware na katulad ng Cobalt Strike. Ang ilan sa mga ito ay kinabibilangan ng Emotet , Trickbot at Ryuk . Ang Emotet ay isang banking Trojan na ginagamit upang mangolekta ng impormasyong pinansyal mula sa mga biktima. Ang Trickbot ay isang modular banking Trojan na maaaring gamitin para sa data exfiltration at ransomware attacks. Ang Ryuk ay isang ransomware strain na na-link sa ilang high-profile na pag-atake sa mga organisasyon sa buong mundo. Ang lahat ng mga banta na ito ay may potensyal na magdulot ng malaking pinsala kung ang mga ito ay hindi maayos na natugunan.
Mga Sintomas ng Impeksiyon ng Cobalt Strike
Kasama sa mga sintomas ng impeksyon ng Cobalt Strike malware ang mabagal na pagganap ng computer, hindi inaasahang mga pop-up window, at kakaibang mga file o folder na lumalabas sa computer. Bukod pa rito, maaaring makaranas ang mga user ng kahirapan sa pag-access sa ilang partikular na website o application, pati na rin sa pagtanggap ng mga email na may mga kahina-hinalang attachment. Kung mapansin ng isang user ang alinman sa mga sintomas na ito, dapat silang makipag-ugnayan kaagad sa kanilang IT department o security provider para mag-imbestiga pa.
Paano Tuklasin at Alisin ang Cobalt Strike Infection mula sa isang Infected Machine
1. Magpatakbo ng buong pag-scan ng system gamit ang na-update na anti-malware software. Matutukoy at maaalis nito ang anumang mga na-tamper na file na nauugnay sa Cobalt Strike malware.
2. Suriin ang iyong system para sa anumang mga kahina-hinalang proseso o serbisyo na maaaring tumatakbo sa background. Kung makakita ka ng anuman, wakasan ang mga ito kaagad.
3. Tanggalin ang anumang mga kahina-hinalang file o folder na ginawa ng Cobalt Strike malware sa iyong computer.
4. Baguhin ang lahat ng iyong mga password, lalo na ang mga nauugnay sa mga account sa pananalapi o iba pang sensitibong impormasyon.
5. Siguraduhin na ang iyong operating system at mga application ay napapanahon sa pinakabagong mga patch ng seguridad at mga update mula sa website ng gumawa.
6. Isaalang-alang ang paggamit ng isang kagalang-galang na firewall at anti-malware program upang protektahan ang iyong computer mula sa mga banta sa hinaharap tulad ng Cobalt Strike malware.
Talaan ng mga Nilalaman
Pagtatasa ng ulat
Pangkalahatang Impormasyon
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Laki ng File:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Laki ng File:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
