В этой статье объясняется, как информационная услуга IPS в стеке безопасности Cato Cloud защищает вашу сеть от атак вредоносного ПО с использованием Cobalt Strike.
Cobalt Strike — это известный инструмент симуляции противников, используемый как вредоносными акторами, так и профессионалами по информационной безопасности для различных целей. В этой статье мы описываем техники, которые использует Cato Cloud для защиты от атак на основе вредоносного использования Cobalt Strike.
Этот раздел описывает техники, используемые службой IPS для идентификации и защиты от атак Cobalt Strike.
Cobalt Strike часто использует PowerShell для загрузки вредоносного ПО в систему. Для противодействия этому, движок IPS настроен на блокировку любых подозрительных активностей PowerShell, связанных с Cobalt Strike, предотвращая тем самым внедрение вредоносных данных.
Cobalt Strike использует отличительные HTTP-идентификаторы для связи с серверами командования и управления (C2). IPS Cato идентифицирует и блокирует эти уникальные идентификаторы, делая неэффективной коммуникацию C2 и защищая вашу сеть от потенциальных угроз.
Cobalt Strike предлагает варианты повышения привилегий, которые могут быть использованы атакующими. Для снижения этого риска, IPS активно блокирует попытки применения сервером C2 повышения привилегий на целевых системах, предотвращая тем самым несанкционированный доступ к привилегиям более высокого уровня.
Cobalt Strike полагается на предопределённые команды постэтапа эксплуатации для управления скомпрометированными системами. IPS обнаруживает и блокирует выполнение этих команд, выпущенных сервером C2, гарантируя, что любые попытки манипулировать скомпрометированным хостом сорваны.
Cobalt Strike использует различные техники и инструменты для латерального перемещения в сети, включая PSexec, SSH, SMB и WinRM. Для противодействия этим тактикам, IPS вместе с Мониторингом подозрительной активности (SAM) может эффективно обнаруживать и блокировать эти протоколы и техники. Это предотвращает латеральное распространение угрозы в вашей сети.
Cobalt Strike часто использует изменяемые профили C2 для имитации популярных сервисов, таких как Gmail, Bing и Pandora, пытаясь избежать обнаружения. Для противодействия этой сложной технике уклонения, IPS использует методы обнаружения, специально разработанные для выявления и блокировки использования Cobalt Strike изменяемых профилей C2. Эта проактивная мера обеспечивает эффективное пресечение даже попыток маскировать вредоносный трафик под безвредные сервисы, повышая безопасность вашей сети.
Чтобы ещё более усложнить обнаружение, существуют инструменты для рандомизации идентификаторов в изменяемых профилях C2, что делает их труднее обнаружить. IPS способен распознавать идентификаторы этих инструментов и проактивно блокировать их.
0 комментариев
Войдите в службу, чтобы оставить комментарий.