Este artigo explica como o serviço de segurança IPS na pilha de segurança Cato Cloud protege sua rede de ataques de malware usando Cobalt Strike.
Cobalt Strike é uma ferramenta de simulação de adversários bem conhecida utilizada tanto por atores de ameaças quanto por profissionais de segurança para diversos fins. Neste artigo, descrevemos técnicas que a Cato Cloud emprega para se proteger contra ataques baseados no uso malicioso de Cobalt Strike.
Esta seção descreve técnicas usadas pelo serviço IPS para identificar e defender contra ataques de Cobalt Strike.
Cobalt Strike frequentemente utiliza PowerShell para baixar malware em um sistema. Para combater isso, o motor IPS é configurado para bloquear quaisquer atividades suspeitas de PowerShell associadas ao Cobalt Strike, impedindo assim a introdução de cargas maliciosas.
Cobalt Strike usa identificadores HTTP distintos para comunicação com seus servidores de Comando e Controle (C2). O IPS da Cato identifica e bloqueia esses identificadores únicos, tornando a comunicação C2 ineficaz e protegendo sua rede de ameaças potenciais.
Cobalt Strike oferece opções para a escalação de privilégios, que podem ser exploradas por atacantes. Para mitigar esse risco, o IPS bloqueia ativamente qualquer tentativa do servidor C2 de executar a escalação de privilégios em sistemas de destino, evitando assim o acesso não autorizado a privilégios de nível superior.
Cobalt Strike depende de comandos de pós-exploração predefinidos para controlar sistemas comprometidos. O IPS detecta e bloqueia a execução desses comandos emitidos pelo servidor C2, garantindo que quaisquer tentativas de manipular o host comprometido sejam frustradas.
Cobalt Strike emprega várias técnicas e ferramentas para movimento lateral dentro de uma rede, incluindo PSexec, SSH, SMB e WinRM. Para contrariar essas táticas, o IPS junto com Monitoramento de Atividades Suspeitas (SAM) pode detectar e bloquear eficientemente esses protocolos e técnicas. Isso evita a propagação lateral da ameaça dentro de sua rede.
Cobalt Strike frequentemente emprega perfis C2 maleáveis para imitar serviços populares, como Gmail, Bing e Pandora, na tentativa de escapar da detecção. Para combater essa técnica sofisticada de evasão, o IPS emprega métodos de detecção projetados especificamente para identificar e bloquear o uso de perfis C2 maleáveis pelo Cobalt Strike. Esta medida proativa garante que até mesmo tentativas de disfarçar o tráfego malicioso como serviços benignos sejam eficazmente interceptadas, aprimorando a segurança de sua rede.
Para complicar ainda mais a detecção, existem ferramentas disponíveis para randomizar os identificadores em perfis C2 maleáveis, tornando-os mais difíceis de identificar. O IPS está equipado para reconhecer os identificadores dessas ferramentas e bloqueá-los proativamente.
0 comentário
Por favor, entre para comentar.