Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK
ファイル Kimliği
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| サイズ | 775.168 byte |
| String Sayisi | 3.679 |
Ethereum RPC C2 Kanalı
Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io -- MEV Blocker Ethereum RPC endpoint -- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor -- rpc.me + vblocker.io domain fragmentleri
Anti-Debug
SetHandleInformation -- Debugger handle tespiti/engeli IsDebuggerPresent -- Debugger tespiti CreateMutexW -- Tekillik mutex
Cobalt Strike Hakkında
Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.
IOC
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| C2 | rpc.mevblocker.io (ETH RPC üzerinden) |
CobaltStrike3 — マルウェアプロファイル
Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.
マルウェアの種類
C2Framework
プログラミング言語
C/C++
C2プロトコル
HTTP/DNS
標的システム
Kurumsal
機能と挙動
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOCリスト (1 件の指標)
IOC — CobaltStrike3
# SHA256
ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |