Este artículo explica cómo el servicio de seguridad IPS en la pila de seguridad de Cato Cloud protege su red de ataques de malware usando Cobalt Strike.
Cobalt Strike es una conocida herramienta de simulación de adversarios utilizada tanto por actores de amenazas como por profesionales de seguridad para diversos propósitos. En este artículo, describimos técnicas que Cato Cloud emplea para protegerse de ataques basados en el uso malicioso de Cobalt Strike.
Esta sección describe las técnicas utilizadas por el servicio IPS para identificar y defenderse contra ataques de Cobalt Strike.
Cobalt Strike a menudo aprovecha PowerShell para descargar malware en un sistema. Para contrarrestar esto, el motor IPS está configurado para bloquear cualquier actividad sospechosa de PowerShell asociada con Cobalt Strike, impidiendo así la introducción de cargas útiles maliciosas.
Cobalt Strike utiliza identificadores HTTP distintos para comunicarse con sus servidores de Comando y Control (C2). El IPS de Cato identifica y bloquea estos identificadores únicos, haciendo que la comunicación C2 sea ineficaz y protegiendo su red de amenazas potenciales.
Cobalt Strike ofrece opciones para el escalamiento de privilegios, que pueden ser explotadas por atacantes. Para mitigar este riesgo, el IPS bloquea activamente cualquier intento por parte del servidor C2 de ejecutar el escalamiento de privilegios en los sistemas objetivo, previniendo así el acceso no autorizado a privilegios de nivel superior.
Cobalt Strike se basa en comandos predefinidos de post-explotación para controlar sistemas comprometidos. El IPS detecta y bloquea la ejecución de estos comandos emitidos por el servidor C2, asegurando que cualquier intento de manipular el host comprometido sea frustrado.
Cobalt Strike emplea varias técnicas y herramientas para el movimiento lateral dentro de una red, incluyendo PSexec, SSH, SMB y WinRM. Para contrarrestar estas tácticas, el IPS junto con Monitoreo de Actividades Sospechosas (SAM) puede detectar y bloquear eficazmente estos protocolos y técnicas. Esto previene la propagación lateral de la amenaza dentro de su red.
Cobalt Strike a menudo emplea perfiles C2 maleables para imitar servicios populares, como Gmail, Bing y Pandora, en un intento de evadir la detección. Para contrarrestar esta sofisticada técnica de evasión, el IPS emplea métodos de detección diseñados específicamente para identificar y bloquear el uso de perfiles C2 maleables por parte de Cobalt Strike. Esta medida proactiva asegura que incluso los intentos de disfrazar el tráfico malicioso como servicios benignos sean interceptados eficazmente, mejorando la seguridad de su red.
Para complicar aún más la detección, hay herramientas disponibles para aleatorizar los identificadores en perfiles C2 maleables, haciéndolos más difíciles de detectar. El IPS está equipado para reconocer los identificadores de estas herramientas y bloquearlos proactivamente.
0 comentarios
Inicie sesión para dejar un comentario.