Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK
文件 Kimliği
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| 大小 | 775.168 byte |
| String Sayisi | 3.679 |
Ethereum RPC C2 Kanalı
Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io -- MEV Blocker Ethereum RPC endpoint -- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor -- rpc.me + vblocker.io domain fragmentleri
Anti-Debug
SetHandleInformation -- Debugger handle tespiti/engeli IsDebuggerPresent -- Debugger tespiti CreateMutexW -- Tekillik mutex
Cobalt Strike Hakkında
Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.
IOC
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| C2 | rpc.mevblocker.io (ETH RPC üzerinden) |
CobaltStrike3 — 恶意软件档案
Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.
恶意软件类型
C2Framework
编程语言
C/C++
C2协议
HTTP/DNS
目标系统
Kurumsal
能力与行为
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC列表 (1 个指标)
IOC — CobaltStrike3
# SHA256
ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |