Cet article explique comment le service de sécurité IPS dans la pile de sécurité Cato Cloud protège votre réseau des attaques de logiciels malveillants utilisant Cobalt Strike.
Cobalt Strike est un outil de simulation d'adversaires bien connu utilisé à la fois par des acteurs malveillants et des professionnels de la sécurité pour divers objectifs. Dans cet article, nous décrivons les techniques que Cato Cloud utilise pour se protéger contre les attaques basées sur l'utilisation malveillante de Cobalt Strike.
Cette section décrit les techniques utilisées par le service IPS pour identifier et se défendre contre les attaques de Cobalt Strike.
Cobalt Strike utilise souvent PowerShell pour télécharger des logiciels malveillants sur un système. Pour contrer cela, le moteur IPS est configuré pour bloquer toute activité PowerShell suspecte associée à Cobalt Strike, empêchant ainsi l'introduction de charges nuisibles.
Cobalt Strike utilise des identifiants HTTP distincts pour communiquer avec ses serveurs de Command and Control (C2). L'IPS de Cato identifie et bloque ces identifiants uniques, rendant la communication C2 inefficace et protégeant votre réseau des menaces potentielles.
Cobalt Strike propose des options pour l'escalade des privilèges, qui peuvent être exploitées par des attaquants. Pour atténuer ce risque, l'IPS bloque activement toute tentative par le serveur C2 d'exécuter une escalade de privilèges sur les systèmes cibles, empêchant ainsi l'accès non autorisé à des privilèges de niveau supérieur.
Cobalt Strike repose sur des commandes de post-exploitation prédéfinies pour contrôler les systèmes compromis. L'IPS détecte et bloque l'exécution de ces commandes émises par le serveur C2, garantissant que toute tentative de manipuler l'hôte compromis est déjouée.
Cobalt Strike utilise différentes techniques et outils pour le mouvement latéral au sein d'un réseau, y compris PSexec, SSH, SMB, et WinRM. Pour contrer ces tactiques, l'IPS avec Surveillance des activités suspectes (SAM) peut efficacement détecter et bloquer ces protocoles et techniques. Cela empêche la propagation latérale de la menace dans votre réseau.
Cobalt Strike emploie souvent des profils C2 malléables pour imiter des services populaires, tels que Gmail, Bing et Pandora, afin de déjouer la détection. Pour contrer cette technique d'évasion sophistiquée, l'IPS utilise des méthodes de détection spécialement conçues pour identifier et bloquer l'utilisation de profils C2 malléables par Cobalt Strike. Cette mesure proactive garantit que même les tentatives de déguiser le trafic malveillant en services bénins sont efficacement interceptées, améliorant la sécurité de votre réseau.
Pour compliquer davantage la détection, des outils sont disponibles pour randomiser les identifiants dans les profils C2 malléables, les rendant plus difficiles à repérer. L'IPS est équipé pour reconnaître les identifiants de ces outils et les bloquer de manière proactive.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.