谷歌发布新的Cobalt Strike检测工具 媒体
Google加强对Cobalt Strike的监测和干扰
关键要点
Google推出VirusTotal集合和YARA规则,增强对Cobalt Strike工具的检测。新特性能够帮助组织识别Cobalt Strike的各个组成部分,如JavaScript、VBA宏和PowerShell脚本模板。Google表示,Cobalt Strike的攻击组件并不会在运行时动态生成,也不会在从服务器部署前进行复杂混淆。Google近期采取措施,加强对Cobalt Strike红队工具的检测和干扰。根据SecurityWeek的报道,该工具现已演变为远程访问工具部署系统。借助新发布的VirusTotal集合和YARA规则,组织可以利用这些新功能识别Cobalt Strike的各个组成部分,包括用于部署shellcode植入物的JavaScript、VBA宏和PowerShell脚本模板,最终导致有效载荷的交付。
加速器vqn 免费“启动器、模板和信标都包含在Cobalt Strike的JAR文件中。它们不会在运行时动态生成,也不会在从服务器部署之前进行复杂混淆。Cobalt Strike使用可逆的XOR编码提供基本的保护。”Google表示,并指出其基于YARA的检测是基于发现的Cobalt Strike JAR文件开发的。
与此同时,数百条签名已被整合到VirusTotal集合中。Google补充道:“我们还将这些签名作为开源发布,供有兴趣在自身产品中部署的网络安全供应商使用,继续致力于改善整个行业的开源安全。”
特性描述检测方法基于YARA规则和VirusTotal集合组件识别包括JavaScript、VBA宏、PowerShell脚本等开源承诺签名向网络安全供应商开放使用通过此措施,Google旨在提高Cobalt Strike的检测难度,从而加强网络安全,帮助各组织抵御潜在的网络攻击。
