All Your Beacon Are Belong to Us: New BlackBerry Book Cracks Code of Cobalt Strike Threat Actors

主要内容在PDF里,比较难阅读

Cobalt Strike是一个开发后框架,旨在模拟后期恶意软件生态系统的最大功能,并允许其用户模拟对手的行为。全球威胁行为者对 Cobalt Strike 的采用,以及该框架在数百次真正的入侵、勒索和数据泄露事件中的使用,表明 Beacon 已经取得了成功。目前,它是所有恶意软件工具包的冠军。如果它有效,它就赢了。
当 Poison Ivy 和 Gh0st 走出牧场时,Cobalt Strike 及其核心植入物 Beacon 已成为众人瞩目的焦点。这迫使世界各地的分析师和研究人员更新他们收集、处理和共享有关 Cobalt Strike 及其批量使用的信息的方法。
您能否在 Cobalt Strike 有效载荷执行之前检测它们?还是只有在他们执行之后?你能检测到网络 C2 流量吗?当您看到 Cobalt Strike 检测时,您能区分红队参与和真正的入侵吗?
更主动地,您能否在第一封网络钓鱼电子邮件以您的方式发送之前开发关于 Cobalt Strike 浪潮的情报?您能否在对手构建其第一个有效载荷之前识别 C2 服务器?你能直接从对手控制的基础设施中提取额外的情报吗?这些是每个组织都必须问自己的问题,黑莓团队提供了不同的回答方式。
在黑暗中寻找信标:网络威胁情报指南》是从业者对从业者的热爱劳动。最初是一个检测 Cobalt Strike 的项目发展成为一个成熟的自动化平台,用于从 Cobalt Strike 团队服务器以及相应的 Beacon 有效负载及其配置详细信息中进行广泛的收集、处理和数据收集。
通过创建该系统并分析大量数据,BlackBerry 研究与情报团队观察了趋势,并在威胁情报生命周期的许多阶段开发了 Cobalt Strike 的整体图。从静态负载分析到配置,再到服务器指纹,再到独特的工具标记,本书作者提供了对 Cobalt Strike 框架本身的实用而详细的介绍,然后深入研究示例,以帮助您了解它是如何在野外使用的。还有一些方便的检测规则和脚本。
这些页面中的内容远不止眼前一亮,通过 Cobalt Strike 的镜头,您可以更好地了解威胁行为者如何设计、配置和操作所有类型的恶意软件。(剧透警告:端口 80、443 和 8080 是恶意软件配置的最爱,这是有充分理由的——它们几乎总是在网络设备上“打开”!)
如果您像我一样,您可能会很高兴深入了解细节并将所学知识付诸实践。我希望这能激励你成为进化压力的一部分,更广泛地说,我希望这项工作可以作为如何构建和共享关于多产恶意软件家族的批量智能分析的模型。

在黑暗中寻找信标:网络威胁情报指南

BlackBerry - Finding Beacons In The Dark.pdf