Des règles YARA publiées pour détecter l’utilisation de Cobalt Strike par les cybercriminels

Les équipes de sécurité informatique se dotent d’une nouvelle arme pour détecter l’un des outils les plus populaires utilisés par les cybercriminels pour distribuer des logiciels malveillants : les versions piratées du cadre d’attaque Cobalt Strike.

Google a publié un ensemble de règles YARA open source et leur intégration en tant que collection VirusTotal pour aider les professionnels de la sécurité informatique à signaler et à identifier les composants de Cobalt Strike et leurs versions respectives. « Étant donné que de nombreux cybercriminels utilisent des versions piratées de Cobalt Strike pour faire avancer leurs cyberattaques, nous espérons qu’en perturbant son utilisation, nous pourrons aider à protéger les organisations, leurs employés et leurs clients dans le monde entier », a déclaré Greg Sinclair, ingénieur en sécurité à la division Cloud Threat Intelligence de Google, dans un article blog.

Créé en tant que produit commercial en 2012 et maintenant vendu par Fortra, Cobalt Strike a été conçu comme une boîte à outils permettant aux équipes rouges de tester la résilience des cyberdéfense de leur organisation.

Sous la forme d’un fichier JAR, il comprend un composant Team Server, qui configure un serveur centralisé qui fonctionne à la fois comme point de terminaison de commande et de contrôle (C2) et comme hub de coordination permettant à plusieurs acteurs de contrôler les appareils infectés. Il existe plusieurs modèles de livraison pour Javascript, les macros VBA et les scripts Powershell qui peuvent déployer de petits implants de code shell (sans disque) connus sous le nom de stagers. Ces intermédiaires rappellent le serveur d’équipe via l’un des canaux de communication pris en charge, y compris HTTP/HTTPS, SMB et DNS, pour télécharger l’implant de la dernière étape connu sous le nom de Beacon. Celui-ci est le code binaire de base qui donne à l’acteur le contrôle de l’ordinateur infecté.

Rien d’étonnant à ce que les cybercriminels aient regardé cela et aient dit : « Wow ». Ils ont commencé à en faire des copies pour les aider dans leurs attaques initiales et la distribution de logiciels malveillants. Google a trouvé 34 versions différentes et illégales de Cobalt Strike, y compris des copies de la version actuelle, la 4.7.

Détecter Cobalt Strike ou ses clones n’est pas facile. Pour chaque version de Cobalt Strike, un nouveau composant de balise unique est généralement créé. Google a dû générer 165 signatures pour les composants Cobalt Strike sur toutes les versions non actuelles. C’est parce que, généralement, les versions divulguées et fissurées de Cobalt Strike sont une version derrière la version commerciale actuelle.

Les règles YARA créées par Google, qui peuvent être téléchargées à partir de VirusTotal, peuvent être utilisées pour les applications de détection de logiciels malveillants de fournisseurs tels qu’AlienVault, Cisco Systems, ESET, Forcepoint, Kaspersky, McAfee/Trellix, SonicWall, Trend Micro et bien d’autres.

« Notre intention », indique M. Sinclair de Google, « est de ramener l’outil dans le domaine des équipes rouges légitimes et de rendre plus difficile l’abus par les bandits »

Ce n’est pas le premier effort pour détecter les mauvaises versions de Cobalt Strike. Par exemple, en 2020, Cisco Systems a publié les signatures de détection SNORT et ClamAV, ainsi qu’un rapport de recherche (en anglais) sur la détection de Cobalt Strike.

Vous voulez savoir comment votre équipe de sécurité peut détecter les abus de Cobalt Strike ? Mandiant a écrit cet article de blog détaillé (en anglais) pour aider les équipes de défense à comprendre les artefacts à rechercher. Microsoft propose également des conseils et Secureworks note que, par défaut, Cobalt Strike utilise toujours l’utilitaire Rundll32 pour l’exécution des commandes.

Il existe d’autres outils commerciaux de test d’intrusion qui ont été clonés. L’un est Brute Ratel C4. Un autre, souligné par Proofpoint, est Sliver, une simulation d’adversaire multiplateforme open source et une plate-forme d’équipe rouge.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Balado Hashtag Tendances, 4 janvier 2024 — Une app Copilot, des iPhones compromis, Google et les applications Android et Adobe n’acquiert pas Figma

Cette semaine : Copilot sur Android et iOS, une attaque de porte dérobée de milliers d’iPhone, Google paie l’amende et assouplit les règles sur les applications Android et Adobe abandonne son projet d’acquérir Figma.

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Google conclut un accord avec le gouvernement du Canada sur le projet de loi C-18

Après des mois de résistance et de rencontres, Google a finalement conclu un accord avec le gouvernement canadien concernant la promulgation du projet de loi C-18, qui devrait entrer en vigueur dans environ deux semaines.

Balado Hashtag Tendances, 30 novembre 2023 — Purge des comptes Google, Pika 1.0, une centrale géothermique pour Google et les effets néfastes des visioconférences

Cette semaine : Google supprime les comptes inactifs, Pika utilise l’IA pour générer des vidéos, Google inaugure une centrale électrique géothermique et les visioconférences comme cause de fatigue.

Partenariat élargi entre CGI et Google pour stimuler l’innovation liée à l’utilisation responsable de l’IA générative

CGI annonce cette semaine l'expansion de son partenariat avec Google pour stimuler l'innovation quant à l'utilisation responsable des technologies issues de l'intelligence artificielle (IA). Le but de ce partenariat est d’aider les clients à accélérer le rendement de leurs investissements dans de nouveaux cas d'utilisation d'IA générative propres à leur secteur d'activité.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.