Cobalt Strike
Thẻ điểm Đe doạ
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards là các báo cáo đánh giá các mối đe dọa phần mềm độc hại khác nhau đã được nhóm nghiên cứu của chúng tôi thu thập và phân tích. EnigmaSoft Threat Scorecards đánh giá và xếp hạng các mối đe dọa bằng cách sử dụng một số chỉ số bao gồm các yếu tố rủi ro trong thế giới thực và tiềm ẩn, xu hướng, tần suất, mức độ phổ biến và tính lâu dài. EnigmaSoft Threat Scorecards được cập nhật thường xuyên dựa trên dữ liệu và chỉ số nghiên cứu của chúng tôi và rất hữu ích cho nhiều người dùng máy tính, từ người dùng cuối đang tìm kiếm giải pháp loại bỏ phần mềm độc hại khỏi hệ thống của họ cho đến các chuyên gia bảo mật đang phân tích các mối đe dọa.
EnigmaSoft Threat Scorecards hiển thị nhiều thông tin hữu ích, bao gồm:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Mức độ nghiêm trọng: Mức độ nghiêm trọng được xác định của một đối tượng, được thể hiện bằng số, dựa trên quy trình và nghiên cứu lập mô hình rủi ro của chúng tôi, như được giải thích trong Tiêu chí đánh giá mối đe dọa của chúng tôi.
Máy tính bị nhiễm: Số trường hợp được xác nhận và nghi ngờ về một mối đe dọa cụ thể được phát hiện trên các máy tính bị nhiễm theo báo cáo của SpyHunter.
Xem thêm Tiêu chí Đánh giá Mối đe dọa .
| Popularity Rank: | 12,709 |
| Mức độ nguy hiểm: | 80 % (Cao) |
| Máy tính bị nhiễm: | 100 |
| Lần đầu tiên nhìn thấy: | October 29, 2021 |
| Nhìn thấy lần cuối: | January 15, 2026 |
| (Các) hệ điều hành bị ảnh hưởng: | Windows |
Phần mềm độc hại Cobalt Strike là một phần mềm đe dọa được sử dụng để nhắm mục tiêu vào các tổ chức tài chính và các tổ chức khác và có thể lây nhiễm các máy tính sử dụng hệ thống Windows, Linux và Mac OS X. Nó được phát hiện lần đầu tiên vào năm 2012 và được cho là tác phẩm của một nhóm tội phạm mạng nói tiếng Nga có tên là Cobalt Group. Phần mềm độc hại này được thiết kế để thu tiền từ các ngân hàng, máy ATM và các tổ chức tài chính khác bằng cách khai thác các lỗ hổng trong hệ thống của họ. Nó đã được liên kết với một số cuộc tấn công nổi tiếng, bao gồm một cuộc tấn công vào Ngân hàng Bangladesh vào năm 2016 dẫn đến hành vi trộm cắp 81 triệu đô la. Cobalt Strike cũng có thể được sử dụng để đánh cắp dữ liệu, tấn công ransomware và tấn công từ chối dịch vụ phân tán (DDoS).
Máy tính bị nhiễm phần mềm độc hại Cobalt Strike như thế nào
Phần mềm độc hại Cobalt Strike thường lây lan qua các email hoặc trang web bị hỏng. Các email có thể chứa các liên kết đến các trang web không an toàn, sau đó có thể tải Cobalt Strike xuống máy tính. Ngoài ra, Cobalt Strike có thể lây lan qua các lượt tải xuống theo từng ổ đĩa, trong đó người dùng không ngờ tới truy cập trang web đã bị nhiễm mối đe dọa này. Sau khi được cài đặt trên máy tính, Cobalt Strike có thể được sử dụng để thu thập dữ liệu và tiền từ các tổ chức tài chính.
Tại sao tin tặc thích sử dụng Cobalt Strike trong các cuộc tấn công của họ?
Tin tặc sử dụng Cobalt Strike vì nhiều lý do. Đây là một công cụ tiên tiến cho phép họ có quyền truy cập vào mạng, khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và lọc dữ liệu. Nó cũng có khả năng bỏ qua các biện pháp bảo mật như tường lửa và phần mềm bảo mật. Ngoài ra, nó có thể được sử dụng để tạo các tải trọng có hại có thể được sử dụng trong các chiến dịch lừa đảo hoặc các cuộc tấn công mạng khác. Cuối cùng, Cobalt Strike tương đối dễ sử dụng và có thể nhanh chóng triển khai để thực hiện một cuộc tấn công.
Có phần mềm độc hại nào khác như Cobalt Strike không?
Có, có những mối đe dọa phần mềm độc hại khác tương tự như Cobalt Strike. Một số trong số này bao gồm Emotet , Trickbot và Ryuk . Emotet là một Trojan ngân hàng được sử dụng để thu thập thông tin tài chính từ các nạn nhân. Trickbot là một Trojan ngân hàng mô-đun có thể được sử dụng để đánh cắp dữ liệu và tấn công ransomware. Ryuk là một chủng ransomware có liên quan đến một số cuộc tấn công nổi tiếng nhằm vào các tổ chức trên khắp thế giới. Tất cả các mối đe dọa này đều có khả năng gây ra thiệt hại đáng kể nếu chúng không được giải quyết đúng cách.
Các triệu chứng của nhiễm trùng bởi Cobalt Strike
Các triệu chứng của việc lây nhiễm phần mềm độc hại Cobalt Strike bao gồm hiệu suất máy tính chậm, cửa sổ bật lên không mong muốn và các tệp hoặc thư mục lạ xuất hiện trên máy tính. Ngoài ra, người dùng có thể gặp khó khăn khi truy cập một số trang web hoặc ứng dụng nhất định, cũng như nhận được email có tệp đính kèm đáng ngờ. Nếu người dùng nhận thấy bất kỳ triệu chứng nào trong số này, họ nên liên hệ ngay với bộ phận CNTT hoặc nhà cung cấp bảo mật để điều tra thêm.
Cách phát hiện và loại bỏ nhiễm Cobalt Strike khỏi máy bị nhiễm
1. Chạy quét toàn bộ hệ thống bằng phần mềm chống phần mềm độc hại được cập nhật. Thao tác này sẽ phát hiện và xóa mọi tệp giả mạo có liên quan đến phần mềm độc hại Cobalt Strike.
2. Kiểm tra hệ thống của bạn để tìm bất kỳ quy trình hoặc dịch vụ đáng ngờ nào có thể đang chạy trong nền. Nếu bạn tìm thấy bất kỳ, chấm dứt chúng ngay lập tức.
3. Xóa mọi tệp hoặc thư mục đáng ngờ đã được tạo bởi phần mềm độc hại Cobalt Strike trên máy tính của bạn.
4. Thay đổi tất cả mật khẩu của bạn, đặc biệt là những mật khẩu liên quan đến tài khoản tài chính hoặc thông tin nhạy cảm khác.
5. Đảm bảo rằng hệ điều hành và các ứng dụng của bạn được cập nhật với các bản vá bảo mật mới nhất và các bản cập nhật từ trang web của nhà sản xuất.
6. Cân nhắc sử dụng tường lửa và chương trình chống phần mềm độc hại có uy tín để bảo vệ máy tính của bạn khỏi các mối đe dọa trong tương lai như phần mềm độc hại Cobalt Strike.
Mục lục
Báo cáo phân tích
Thông tin chung
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Kích thước tập tin:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Kích thước tập tin:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
