攻击者利用公开的 Cobalt Strike 配置文件

文章预览

执行摘要 在本文中，Unit 42 研究人员详细介绍了最近发现的恶意 Cobalt Strike 基础设施。我们还分享了恶意 Cobalt Strike 样本的示例，这些样本使用了 Malleable C2 配置文件，这些配置文件源自托管在公共代码存储库中的同一配置文件。 Cobalt Strike 是一个商业软件框架，可让红队成员等安全专业人员模拟攻击者嵌入网络环境。然而，威胁行为者仍在现实世界的攻击中使用破解版的 Cobalt Strike。名为 Beacon 的后漏洞利用有效载荷使用名为 Malleable C2 的基于文本的配置文件来更改 Beacon 网络流量的特征，以试图避免被检测到。 尽管 Cobalt Strike 被用于防御性网络安全评估，但威胁行为者仍继续利用它进行恶意攻击。由于其可塑性和逃避性，Cobalt Strike 仍然是组织面临的重大安全威胁。 第一个示例 第一个 Beacon 样本借用了托管在公开软件存储库中的名为 ocsp.profile 的 ………………………………