投稿邮箱

DCWpaper@vip.163.com

您的位置:首页 > 行业动态 >
BlackBerry新书聚焦因Cobalt Strike不断演变所带来的网络威胁
作者:赵法彬   添加时间:2021-10-22
国家级APT组织、网络黑客“雇佣兵”和个人网络罪犯持续利用CobaltStrike制造新威胁。

BlackBerry (纽约证券交易所代码:BB;多伦多证券交易所代码:BB)近日在BlackBerry安全峰会上发布了最新著作《在黑暗中寻找信标——网络威胁情报指南》,旨在解读目前网络攻击者最常用工具之一Cobalt Strike的信标演变及泛滥状况。


 


在详细介绍预防恶意Cobalt Strike有效载荷方法的同时,该书也概述了为何一款强大的网络威胁情报(CTI)生命周期管理工具,及具备扩展检测与响应(XDR)的解决方案能够提供阻断此类威胁所需的环境。


 


QQ截图20211022193628

BlackBerry最新著作《在黑暗中寻找信标——网络威胁情报指南》


 


Cobalt Strike最初只是一款开发用以模拟对手的工具,现已演变为被国家级APT组织、网络黑客等群体最常选择的攻击手段之一。该书重点强调了各种组织和机构目前面临的诸多网络安全威胁,其在此背景下该如何搭建网络防御框架,并揭示了以往认定的毫无关联的网络攻击之间的联系。


 


由于具有可塑性和可访问性的特点,Cobalt Strike被作为红队常用的工具,现已被网络犯罪分子严重滥用。Cobalt Strike功能丰富,支持多种攻击方法,因此也一直是众多国家级APT组织的首选。对于过去一年半内勒索软件泛滥的现象,Cobalt Strike无疑是起到了推波助澜的作用。


 


相较于自行开发内部技术,通过地下论坛购买现成的恶意软件和相关工具显然成本更低,而且还会给执法机构造成归因困难,因此Cobalt Strike是企业和网络犯罪分子的理想选择。当网络黑客组织是受雇于国家行为体时,这种归因困难的挑战会更加复杂。


 


“对网络犯罪分子来说,Cobalt Strike近乎是完美的软件,但同时也凸显了网络安全行业面临的进退两难的核心困境,即精心开发的工具既可以提升网络安全,也会被用以助长网络犯罪。”BlackBerry研究与情报事业部副总裁埃里克·米拉姆(Eric Milam)表示,“Cobalt Strike功能丰富,开发人员还为其提供了完善支持与积极维护。但Cobalt Strike的有效载荷也为网络攻击者提供了许多可乘之机,进而成为了APT组织和网络犯罪新手青睐的选择。”


 


除了Cobalt Strike被大量应用于地下犯罪活动的原因值得深思,高水平的APT组织对这一工具的持续使用同样值得关注。2021年10月,APT41就使用Cobalt Strike给目标印度公民发送了钓鱼邮件;Dridex操控者也在最近进行的网络钓鱼和恶意垃圾邮件活动中大量利用了Cobalt Strike。


 


BlackBerry产品工程执行副总裁Billy Ho强调,“这本新书旨在通过分享我们的知识来提升网络安全防护,同时介绍BlackBerry为打造一套Cobalt Strike自动探测系统所采取的步骤,更为重要的是展示如何从生成的数据集中挖掘有意义的威胁情报。从而,通过这些信息发现线索、了解趋势、获得威胁组织和攻击活动的情报。”


×