Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK

Archivo Kimliği

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Tamaño775.168 byte
String Sayisi3.679

Ethereum RPC C2 Kanalı

Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io  -- MEV Blocker Ethereum RPC endpoint
-- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor
-- rpc.me + vblocker.io domain fragmentleri

Anti-Debug

SetHandleInformation  -- Debugger handle tespiti/engeli
IsDebuggerPresent     -- Debugger tespiti
CreateMutexW          -- Tekillik mutex

Cobalt Strike Hakkında

Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.

IOC

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
C2rpc.mevblocker.io (ETH RPC üzerinden)

CobaltStrike3 — Perfil del malware

Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.

Tipo de malware
C2Framework
Lenguaje de programación
C/C++
Protocolo C2
HTTP/DNS
Sistemas objetivo
Kurumsal

Capacidades y comportamiento

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

Lista IOC (1 indicadores)

IOC — CobaltStrike3
# SHA256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
TipoValorNota
sha256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Etiquetas
cobalt-strikec2-frameworkmevblocker-ioeth-rpcanti-debugset-handle