钴说明

Cobalt 是一种恶意软件感染,它利用 Microsoft Windows 中已在此操作系统中存在 17 年的漏洞进行传播。尽管 Cobalt 正在使用的漏洞 CVE-2017-11882 已经存在了 17 年,但直到 2017 年 11 月才公开并被微软修补。利用这个漏洞,网络骗子能够使用 Cobalt 进行威胁Strike,一种用于测试漏洞的工具。

保守多年的钴秘密

Cobalt 是通过垃圾邮件发送的,看起来像是来自 Visa(信用卡公司)的通知,据称是宣布其在俄罗斯的 PayWave 服务的规则更改。受害者会收到一份名为“Изменения в системе безопасности.doc Visa payWave.doc”的 RTF 文件以及同名存档文件。以附加到电子邮件的存档文件的形式发送威胁是一种非常常见的传送方法。对这些攻击使用受密码保护的档案是一种防止自动分析系统分析文件的安全方法,因为它们将在安全环境中提取文件以检测威胁。但是,通过在同一消息中包含损坏的 DOC 文件和存档,在某种程度上具有社会工程学方面的作用。

当用于传送 Cobalt 的有害文档被打开时,PowerShell 脚本会在后台运行。该脚本会在受害者的计算机上下载并安装 Cobalt,从而允许网络骗子控制受感染的计算机。在 Cobalt 攻击期间,会下载并执行多个脚本,最终将 Cobalt 下载并安装到受害者的计算机上。当在受感染计算机上触发 CVE-2017-11882 漏洞利用时,会下载混淆的 JavaScript 文件,然后在受感染计算机上执行。这会下载另一个 PowerShell 脚本,然后将 Cobalt 直接加载到受感染计算机上的内存中。虽然 PowerShell 脚本可以成为使使用计算机更加方便和高效的强大方式,但它与计算机内部工作交互的方式及其强大功能使这些脚本成为威胁攻击中使用的首选工具之一。由于 Cobalt 是直接加载到内存中的,并且没有损坏的 DLL 文件被写入受害者的硬盘,这使得反病毒程序更难检测到正在执行 Cobalt 攻击。

Cobalt 攻击如何影响您和您的机器

一旦 Cobalt 安装在受害者的计算机上,Cobalt 可用于控制受感染的计算机,以及在同一网络上的其他计算机系统上安装此威胁。虽然官方认为 Cobalt Strike 是一种渗透测试工具,但在这种情况下,它被用于执行威胁攻击。网络骗子一直在寻找传播威胁的新方法。虽然新的漏洞非常具有威胁性,但像这样的非常老的漏洞,最初可能没有得到妥善解决,也对计算机用户构成威胁。请记住,许多计算机用户未能定期修补他们的软件和操作系统,这意味着许多 PC 很容易受到许多很老的漏洞的攻击,在某些情况下,许多防病毒程序会忽略这些漏洞。

保护您的计算机免受 Cobalt 等威胁

与大多数威胁一样,使用可信赖的安全程序是抵御 Cobalt 和类似威胁的最佳保护措施。然而,由于这些攻击涉及旧的软件漏洞,PC 安全研究人员建议计算机用户确保他们的软件和操作系统完全更新为最新的安全补丁。这可以帮助计算机用户像使用安全软件一样预防威胁和其他问题。