Kobalt

Kobalt Açıklama

Kobalt, Microsoft Windows'ta bu işletim sisteminde 17 yıldır var olan bir güvenlik açığından yararlanarak yayılan bir kötü amaçlı yazılım bulaşmasıdır. Cobalt tarafından kullanılan CVE-2017-11882 güvenlik açığı 17 yıldır var olmasına rağmen, yalnızca Kasım 2017'de Microsoft tarafından kamuya açık hale getirildi ve yamalandı. Strike, güvenlik açıklarını test etmek için kullanılan bir araç.

Yıllardır Saklanan Bir Kobalt Sırrı

Kobalt, Visa'dan (kredi kartı şirketi) gelen ve Rusya'daki PayWave hizmetinde sözde kural değişikliklerini bildiren bir bildirime benzeyen bir spam e-posta iletisi aracılığıyla gönderilir. Mağdurlar, 'Изменения в системе безопасности.doc Visa payWave.doc' adlı bir RTF belgesi ve aynı ada sahip bir arşiv dosyası alır. Tehditleri e-posta iletilerine iliştirilmiş arşiv dosyaları biçiminde göndermek, bunları iletmenin çok yaygın bir yöntemidir. Bu saldırılar için parola korumalı arşivlerin kullanılması, otomatik analiz sistemlerinin dosyayı analiz etmesini önlemenin güvenli bir yoludur, çünkü tehditleri tespit etmek için dosyayı güvenli bir ortamda ayıklarlar. Ancak, hem bozuk DOC dosyasını hem de arşivi aynı mesaja dahil etmenin biraz sosyal mühendislik yönü vardır.

Kobalt'ı teslim etmek için kullanılan zararlı belge açıldığında, arka planda bir PowerShell betiği çalışır. Bu komut dosyası, Cobalt'ı kurbanın bilgisayarına indirip yükleyerek siber dolandırıcıların virüslü bilgisayarın kontrolünü ele geçirmesini sağlar. Kobalt saldırısı sırasında, sonunda kurbanın bilgisayarına Kobalt'ı indirip yüklemek için birkaç komut dosyası indirilir ve yürütülür. Etkilenen bilgisayarda CVE-2017-11882 açığı tetiklendiğinde, gizlenmiş bir JavaScript dosyası indirilir ve ardından virüslü bilgisayarda yürütülür. Bu, başka bir PowerShell betiğini indirir ve daha sonra Cobalt'ı doğrudan virüslü bilgisayardaki belleğe yükler. PowerShell komut dosyaları, bilgisayar kullanımını daha kullanışlı ve verimli hale getirmenin güçlü bir yolu olsa da, bilgisayarın iç işleyişiyle etkileşime girme şekli ve güçleri, bu komut dosyalarını tehdit saldırılarında kullanılan tercih edilen araçlardan biri haline getirmiştir. Kobalt doğrudan belleğe yüklendiğinden ve kurbanın sabit sürücülerine hiçbir bozuk DLL dosyası yazılmadığından, bu, anti-virüs programlarının Kobalt saldırısının gerçekleştirildiğini algılamasını zorlaştırır.

Kobalt Saldırısı Sizi ve Makinenizi Nasıl Etkileyebilir?

Cobalt kurbanın bilgisayarına yüklendikten sonra, Cobalt virüslü bilgisayarı kontrol etmek ve bu tehdidi aynı ağdaki diğer bilgisayar sistemlerine yüklemek için kullanılabilir. Resmi olarak Cobalt Strike, sözde penetrasyon testi için bir araç olsa da, bu durumda tehdit saldırılarını gerçekleştirmek için kullanılıyor. Siber dolandırıcılar her zaman tehditleri iletmenin yeni yollarını ararlar. Yeni güvenlik açıkları oldukça tehdit edici olsa da, bunun gibi orijinal olarak doğru şekilde ele alınmamış olabilecek çok eski güvenlik açıkları da bilgisayar kullanıcıları için bir tehdit oluşturmaktadır. Pek çok bilgisayar kullanıcısının yazılımlarına ve işletim sistemlerine düzenli olarak yama yapmadığını unutmayın; bu, birçok bilgisayarın oldukça eski olan ve bazı durumlarda birçok anti-virüs programı tarafından gözden kaçan birçok istismara karşı savunmasız olduğu anlamına gelir.

Bilgisayarınızı Kobalt Gibi Bir Tehditten Koruma

Çoğu tehditte olduğu gibi, güvenilir bir güvenlik programının kullanılması, Kobalt ve benzeri tehditlere karşı en iyi korumadır. Ancak, bu saldırılara eski bir yazılım açıklarından yararlanma dahil olduğundan, bilgisayar güvenlik araştırmacıları bilgisayar kullanıcılarına yazılımlarının ve işletim sistemlerinin en son güvenlik yamalarıyla tamamen güncellendiğinden emin olmalarını tavsiye eder. Bu, bilgisayar kullanıcılarının tehditleri ve diğer sorunları, güvenlik yazılımı kullanmaları kadar önlemesine yardımcı olabilir.