Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK
Archivo Kimliği
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| Tamaño | 775.168 byte |
| String Sayisi | 3.679 |
Ethereum RPC C2 Kanalı
Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io -- MEV Blocker Ethereum RPC endpoint -- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor -- rpc.me + vblocker.io domain fragmentleri
Anti-Debug
SetHandleInformation -- Debugger handle tespiti/engeli IsDebuggerPresent -- Debugger tespiti CreateMutexW -- Tekillik mutex
Cobalt Strike Hakkında
Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.
IOC
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| C2 | rpc.mevblocker.io (ETH RPC üzerinden) |
CobaltStrike3 — Perfil del malware
Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.
Tipo de malware
C2Framework
Lenguaje de programación
C/C++
Protocolo C2
HTTP/DNS
Sistemas objetivo
Kurumsal
Capacidades y comportamiento
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
Lista IOC (1 indicadores)
IOC — CobaltStrike3
# SHA256
ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |