この記事では、カトクラウドのセキュリティスタックにおけるIPSセキュリティサービスが、Cobalt Strikeを使用したマルウェア攻撃からネットワークをどのように保護するかを説明します。
Cobalt Strikeは、脅威アクターとセキュリティの専門家の両方がさまざまな目的で使用する、よく知られた敵対シミュレーションツールです。 この記事では、Cato CloudがCobalt Strikeの悪意のある使用に基づく攻撃を防ぐために採用する技術を概説します。
このセクションでは、Cobalt Strike攻撃を識別し防御するためにIPSサービスが使用する技術を説明します。
Cobalt Strikeは、システムにマルウェアをダウンロードするため、しばしばPowerShellを活用します。 これを対抗するために、IPSエンジンはCobalt Strikeに関連した疑わしいPowerShellアクティビティをブロックするように設定されており、これにより悪意のあるペイロードの導入を防ぎます。
Cobalt Strikeは、そのコマンド&コントロール(C2)サーバーとの通信のために、特有のHTTPプロトコル識別子を使用します。 カトのIPSはこれらの一意の識別子を識別してブロックし、C2通信を無効にし、潜在的な脅威からネットワークを保護します。
Cobalt Strikeは、攻撃者によって悪用される可能性のある権限昇格オプションを提供します。 このリスクを軽減するために、IPSはC2サーバーによる対象システムでの権限昇格実行の試みを積極的にブロックし、より高いレベルの権限への無許可アクセスを防止します。
Cobalt Strikeは、侵害されたシステムを制御するために、事前定義されたポストエクスプロイトコマンドに依存しています。 IPSは、C2サーバーによって発行されたこれらのコマンドの実行を検出してブロックし、侵害されたホストを操作しようとする試みを阻止します。
Cobalt Strikeは、PSexec、SSH、SMB、WinRMを含む、ネットワーク内での横方向移動のために様々な技術とツールを採用しています。 これらの戦術に対抗するために、IPSは疑わしい活動の監視(SAM)と協力し、これらのプロトコルと技術を効率的に検出およびブロックすることができます。 これにより、ネットワーク内での脅威の横方向への拡散を防ぎます。
Cobalt Strikeは、Gmail、Bing、Pandoraなどの人気サービスを模倣するために、柔軟なC2プロファイルを使用し、検出を回避しようとします。 この洗練された回避技術に対抗するため、侵入防御システム (IPS) は、Cobalt Strike のマリブル C2 プロファイルの使用を識別してブロックするように特別に設計された検出方法を採用しています。 このプロアクティブな対策により、悪意のあるトラフィックを無害なサービスとして偽装する試みも効果的にインターセプトされ、ネットワークのセキュリティが強化されます。
0件のコメント
サインインしてコメントを残してください。