Bron
Leestijd 2 min
Hoe houden bedreigers achter een Cobalt Strike-server deze draaiende nadat het domein is opgeheven? Als de server niet via de domeinregistrar wordt gehost, blijft hij gewoon op hetzelfde IP-adres draaien. Het dagboek van vandaag is een casestudy waarbij Cobalt Strike actief bleef op hetzelfde IP-adres, ten minste een week nadat het domein was geschorst. Op dinsdag 2022-06-28, genereerde ik een Qakbot infectie in mijn lab en zag ik Cobalt Strike HTTPS verkeer op 147.78.47[. 223 over TCP poort 443, zoals hieronder getoond. Hierboven getoond: Verkeer van een Qakbot infectie met Cobalt Strike op dinsdag 2022-06-28 gefilterd in Wireshark. Onderzoek van het certificaat in Wireshark toont aan dat het een Let's Encrypt certificaat is voor moros[.]icu. Let's Encrypt is een legitieme gratis, geautomatiseerde en open certificaatautoriteit (CA). Hoewel deze dienst door veel geldige websites wordt gebruikt, wordt hij vaak misbruikt door dreigingsactoren, waaronder degenen die achter kwaadaardige Cobalt Strike-activiteiten zitten. Hierboven getoond: Controle van de gegevens van de certificaatverstrekker, verbonden met Cobalt Strike verkeer op 147.78.47[.
een maand geleden - isc.sans.edu
Korte versie
Cobalt Strike, een schadelijk red team-hulpmiddel, is door bedreigingsactoren over de hele wereld uit de lucht gehaald.
Uitgebreide versie
Hoe houden bedreigers achter een Cobalt Strike-server deze draaiende nadat het domein is opgeheven? Het dagboek van vandaag is een casestudy waarbij Cobalt Strike actief bleef op hetzelfde IP-adres, ten minste een week nadat het domein was geschorst. Hierboven getoond: Verkeer van een Qakbot infectie met Cobalt Strike op dinsdag 2022-06-28 gefilterd in Wireshark.
