Kobalt
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Sıralama: Belirli bir tehdidin EnigmaSoft'un Tehdit Veritabanındaki sıralaması.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
| Sıralama: | 4,110 |
| Tehlike seviyesi: | 20 % (Normal) |
| Etkilenen Bilgisayarlar: | 2,252 |
| İlk görüş: | May 5, 2022 |
| Son görülen: | September 20, 2023 |
| Etkilenen İşletim Sistemleri: | Windows |
Kobalt, Microsoft Windows'ta bu işletim sisteminde 17 yıldır var olan bir güvenlik açığından yararlanarak yayılan bir kötü amaçlı yazılım bulaşmasıdır. Cobalt tarafından kullanılan CVE-2017-11882 güvenlik açığı 17 yıldır var olmasına rağmen, yalnızca Kasım 2017'de Microsoft tarafından kamuya açık hale getirildi ve yamalandı. Strike, güvenlik açıklarını test etmek için kullanılan bir araç.
İçindekiler
Yıllardır Saklanan Bir Kobalt Sırrı
Kobalt, Visa'dan (kredi kartı şirketi) gelen ve Rusya'daki PayWave hizmetinde sözde kural değişikliklerini bildiren bir bildirime benzeyen bir spam e-posta iletisi aracılığıyla gönderilir. Mağdurlar, 'Изменения в системе безопасности.doc Visa payWave.doc' adlı bir RTF belgesi ve aynı ada sahip bir arşiv dosyası alır. Tehditleri e-posta iletilerine iliştirilmiş arşiv dosyaları biçiminde göndermek, bunları iletmenin çok yaygın bir yöntemidir. Bu saldırılar için parola korumalı arşivlerin kullanılması, otomatik analiz sistemlerinin dosyayı analiz etmesini önlemenin güvenli bir yoludur, çünkü tehditleri tespit etmek için dosyayı güvenli bir ortamda ayıklarlar. Ancak, hem bozuk DOC dosyasını hem de arşivi aynı mesaja dahil etmenin biraz sosyal mühendislik yönü vardır.
Kobalt'ı teslim etmek için kullanılan zararlı belge açıldığında, arka planda bir PowerShell betiği çalışır. Bu komut dosyası, Cobalt'ı kurbanın bilgisayarına indirip yükleyerek siber dolandırıcıların virüslü bilgisayarın kontrolünü ele geçirmesini sağlar. Kobalt saldırısı sırasında, sonunda kurbanın bilgisayarına Kobalt'ı indirip yüklemek için birkaç komut dosyası indirilir ve yürütülür. Etkilenen bilgisayarda CVE-2017-11882 açığı tetiklendiğinde, gizlenmiş bir JavaScript dosyası indirilir ve ardından virüslü bilgisayarda yürütülür. Bu, başka bir PowerShell betiğini indirir ve daha sonra Cobalt'ı doğrudan virüslü bilgisayardaki belleğe yükler. PowerShell komut dosyaları, bilgisayar kullanımını daha kullanışlı ve verimli hale getirmenin güçlü bir yolu olsa da, bilgisayarın iç işleyişiyle etkileşime girme şekli ve güçleri, bu komut dosyalarını tehdit saldırılarında kullanılan tercih edilen araçlardan biri haline getirmiştir. Kobalt doğrudan belleğe yüklendiğinden ve kurbanın sabit sürücülerine hiçbir bozuk DLL dosyası yazılmadığından, bu, anti-virüs programlarının Kobalt saldırısının gerçekleştirildiğini algılamasını zorlaştırır.
Kobalt Saldırısı Sizi ve Makinenizi Nasıl Etkileyebilir?
Cobalt kurbanın bilgisayarına yüklendikten sonra, Cobalt virüslü bilgisayarı kontrol etmek ve bu tehdidi aynı ağdaki diğer bilgisayar sistemlerine yüklemek için kullanılabilir. Resmi olarak Cobalt Strike, sözde penetrasyon testi için bir araç olsa da, bu durumda tehdit saldırılarını gerçekleştirmek için kullanılıyor. Siber dolandırıcılar her zaman tehditleri iletmenin yeni yollarını ararlar. Yeni güvenlik açıkları oldukça tehdit edici olsa da, bunun gibi orijinal olarak doğru şekilde ele alınmamış olabilecek çok eski güvenlik açıkları da bilgisayar kullanıcıları için bir tehdit oluşturmaktadır. Pek çok bilgisayar kullanıcısının yazılımlarına ve işletim sistemlerine düzenli olarak yama yapmadığını unutmayın; bu, birçok bilgisayarın oldukça eski olan ve bazı durumlarda birçok anti-virüs programı tarafından gözden kaçan birçok istismara karşı savunmasız olduğu anlamına gelir.
Bilgisayarınızı Kobalt Gibi Bir Tehditten Koruma
Çoğu tehditte olduğu gibi, güvenilir bir güvenlik programının kullanılması, Kobalt ve benzeri tehditlere karşı en iyi korumadır. Ancak, bu saldırılara eski bir yazılım açıklarından yararlanma dahil olduğundan, bilgisayar güvenlik araştırmacıları bilgisayar kullanıcılarına yazılımlarının ve işletim sistemlerinin en son güvenlik yamalarıyla tamamen güncellendiğinden emin olmalarını tavsiye eder. Bu, bilgisayar kullanıcılarının tehditleri ve diğer sorunları, güvenlik yazılımı kullanmaları kadar önlemesine yardımcı olabilir.
URL'ler
Kobalt, aşağıdaki URL'leri arayabilir:
| betaengine.org |
