BlackBerry （纽约证券交易所代码：BB；多伦多证券交易所代码：BB）近日在BlackBerry安全峰会上发布了最新著作《在黑暗中寻找信标——网络威胁情报指南》，旨在解读目前网络攻击者最常用工具之一Cobalt Strike的信标演变及泛滥状况。

在详细介绍预防恶意Cobalt Strike有效载荷方法的同时，该书也概述了为何一款强大的网络威胁情报（CTI）生命周期管理工具，及具备扩展检测与响应（XDR）的解决方案能够提供阻断此类威胁所需的环境。

BlackBerry最新著作《在黑暗中寻找信标——网络威胁情报指南》

Cobalt Strike最初只是一款开发用以模拟对手的工具，现已演变为被国家级APT组织、网络黑客等群体最常选择的攻击手段之一。该书重点强调了各种组织和机构目前面临的诸多网络安全威胁，其在此背景下该如何搭建网络防御框架，并揭示了以往认定的毫无关联的网络攻击之间的联系。

由于具有可塑性和可访问性的特点，Cobalt Strike被作为红队常用的工具，现已被网络犯罪分子严重滥用。Cobalt Strike功能丰富，支持多种攻击方法，因此也一直是众多国家级APT组织的首选。对于过去一年半内勒索软件泛滥的现象，Cobalt Strike无疑是起到了推波助澜的作用。

相较于自行开发内部技术，通过地下论坛购买现成的恶意软件和相关工具显然成本更低，而且还会给执法机构造成归因困难，因此Cobalt Strike是企业和网络犯罪分子的理想选择。当网络黑客组织是受雇于国家行为体时，这种归因困难的挑战会更加复杂。

“对网络犯罪分子来说，Cobalt Strike近乎是完美的软件，但同时也凸显了网络安全行业面临的进退两难的核心困境，即精心开发的工具既可以提升网络安全，也会被用以助长网络犯罪。”BlackBerry研究与情报事业部副总裁埃里克·米拉姆（Eric Milam）表示，“Cobalt Strike功能丰富，开发人员还为其提供了完善支持与积极维护。但Cobalt Strike的有效载荷也为网络攻击者提供了许多可乘之机，进而成为了APT组织和网络犯罪新手青睐的选择。”

除了Cobalt Strike被大量应用于地下犯罪活动的原因值得深思，高水平的APT组织对这一工具的持续使用同样值得关注。2021年10月，APT41就使用Cobalt Strike给目标印度公民发送了钓鱼邮件；Dridex操控者也在最近进行的网络钓鱼和恶意垃圾邮件活动中大量利用了Cobalt Strike。

BlackBerry产品工程执行副总裁Billy Ho强调，“这本新书旨在通过分享我们的知识来提升网络安全防护，同时介绍BlackBerry为打造一套Cobalt Strike自动探测系统所采取的步骤，更为重要的是展示如何从生成的数据集中挖掘有意义的威胁情报。从而，通过这些信息发现线索、了解趋势、获得威胁组织和攻击活动的情报。”