谷歌开源 165 条 YARA 规则，帮助企业检测 Cobalt Strike 攻击

Google Cloud Threat Intelligence 安全工程师格雷格・辛克莱尔（Greg Sinclair）表示：

我们正在向社区发布一套开源的 YARA 规则，并将其整合到 VirusTotal 集合中，帮助社区标记和识别 Cobalt Strike 的组件及其各自的版本。由于有些版本已经被威胁行为者滥用，因此检测 Cobalt Strike 的确切版本，是确定非恶意行为者使用合法性的一个重要组成部分。

IT之家了解到，Cobalt Strike 的破解版和泄露版在大多数情况下至少落后一个版本，这使得谷歌能够收集数百个被黑客使用的框架、模板和信标样本，以建立具有高度准确性的基于 YARA 的检测规则。

辛克莱尔补充道：

我们的目标是进行高保真检测，以便能够准确地确定特定 Cobalt Strike 组件的版本。只要有可能，我们会建立签名来检测 Cobalt Strike 组件的特定版本。

IT之家了解到，Cobalt Strike（由 Fortra 公司开发，曾叫做 Help Systems）是一个合法的渗透测试工具，自 2012 年以来一直处于开发状态。它被设计为红色团队的攻击框架，用于扫描其组织的基础设施，以寻找漏洞和安全漏洞。这导致 Cobalt Strike 成为网络攻击中最常用的工具之一，可能导致数据被盗和勒索软件。

未经允许不得转载：新聚网 » 谷歌开源 165 条 YARA 规则，帮助企业检测 Cobalt Strike 攻击