鈷

Cobalt 是一種惡意軟件感染，它利用 Microsoft Windows 中已在此操作系統中存在 17 年的漏洞進行傳播。儘管 Cobalt 正在使用的漏洞 CVE-2017-11882 已經存在了 17 年，但直到 2017 年 11 月才公開並被微軟修補。利用這個漏洞，網絡騙子能夠使用 Cobalt 進行威脅Strike，一種用於測試漏洞的工具。

保守多年的鈷秘密

Cobalt 是通過垃圾郵件發送的，看起來像是來自 Visa（信用卡公司）的通知，據稱是宣布其在俄羅斯的 PayWave 服務的規則更改。受害者會收到一份名為“Изменения в системе безопасности.doc Visa payWave.doc”的 RTF 文件以及同名存檔文件。以附加到電子郵件的存檔文件的形式發送威脅是一種非常常見的傳送方法。對這些攻擊使用受密碼保護的檔案是一種防止自動分析系統分析文件的安全方法，因為它們將在安全環境中提取文件以檢測威脅。但是，通過在同一消息中包含損壞的 DOC 文件和存檔，在某種程度上具有社會工程學方面的作用。

當用於傳送 Cobalt 的有害文檔被打開時，PowerShell 腳本會在後台運行。該腳本會在受害者的計算機上下載並安裝 Cobalt，從而允許網絡騙子控制受感染的計算機。在 Cobalt 攻擊期間，會下載並執行多個腳本，最終將 Cobalt 下載並安裝到受害者的計算機上。當在受感染計算機上觸發 CVE-2017-11882 漏洞利用時，會下載混淆的 JavaScript 文件，然後在受感染計算機上執行。這會下載另一個 PowerShell 腳本，然後將 Cobalt 直接加載到受感染計算機上的內存中。雖然 PowerShell 腳本可以成為使使用計算機更加方便和高效的強大方式，但它與計算機內部工作交互的方式及其強大功能使這些腳本成為威脅攻擊中使用的首選工具之一。由於 Cobalt 直接加載到內存中，並且沒有損壞的 DLL 文件寫入受害者的硬盤驅動器，這使得防病毒程序更難檢測到正在執行 Cobalt 攻擊。

Cobalt 攻擊如何影響您和您的機器

一旦 Cobalt 安裝在受害者的計算機上，Cobalt 可用於控制受感染的計算機，以及在同一網絡上的其他計算機系統上安裝此威脅。雖然官方認為 Cobalt Strike 是一種滲透測試工具，但在這種情況下，它被用於執行威脅攻擊。網絡騙子一直在尋找傳播威脅的新方法。雖然新的漏洞非常具有威脅性，但像這樣的非常老的漏洞，最初可能沒有得到妥善解決，也對計算機用戶構成威脅。請記住，許多計算機用戶未能定期修補他們的軟件和操作系統，這意味著許多 PC 很容易受到許多很老的漏洞的攻擊，在某些情況下，許多防病毒程序會忽略這些漏洞。

保護您的計算機免受 Cobalt 等威脅

與大多數威脅一樣，使用可信賴的安全程序是抵禦 Cobalt 和類似威脅的最佳保護措施。然而，由於這些攻擊涉及舊的軟件漏洞，PC 安全研究人員建議計算機用戶確保他們的軟件和操作系統完全更新為最新的安全補丁。這可以幫助計算機用戶像使用安全軟件一樣預防威脅和其他問題。