Les capacités de cybersécurité des organisations se sont améliorées au cours de la dernière décennie, principalement par nécessité. Au fur et à mesure que leurs défenses s’améliorent, les méthodes, les tactiques et les techniques mises au point par les acteurs malveillants pour pénétrer leurs environnements s’améliorent également.

Au lieu du virus ou cheval de Troie standard, les attaquants d’aujourd’hui déploieront une variété d’outils et de méthodes pour infiltrer l’environnement d’une organisation et l’attaquer de l’intérieur.

Dans un tournant intéressant, l’un des outils que les organisations ont utilisés pour auditer et améliorer leurs défenses est également devenu un outil populaire utilisé par les attaquants pour s’infiltrer. Cobalt Strike est un outil de simulation d’adversaire et d’opérations d’équipe rouge qui permet aux organisations de simuler des attaques avancées et de tester leurs piles de sécurité dans une simulation proche du monde réel.

Un nouveau webinaire de recherche du fournisseur XDR Cynet (Inscrivez-vous ici) offre un meilleur aperçu de Cobalt Strike. Le webinaire, dirigé par l’analyste des opérations cyber pour l’équipe Cynet MDR Yuval Fischer, approfondira la menace.

En tant que simulation, il impressionne par ses capacités et est apprécié pour être hautement personnalisable. Toutes ces caractéristiques en ont également fait un outil d’attaque efficace pour les acteurs malveillants réels. Cobalt Strike est un serveur C2 qui offre des fonctionnalités très sophistiquées et faciles à utiliser, et l’année dernière a vu une énorme augmentation du nombre d’attaques de Cobalt Strike enregistrées dans la nature. En fait, une étude du groupe Insikt de Recorded Future a révélé que Cobalt Strike était le serveur C2 le plus couramment déployé dans les attaques malveillantes.

L’une des principales raisons pour lesquelles Cobalt Strike est devenu si répandu est ses diverses capacités, notamment :

  • Reconnaissance de l’utilisation des logiciels côté client, ainsi que des vulnérabilités de version
  • Une variété de packages d’attaque qui incluent l’ingénierie sociale, les chevaux de Troie et les outils de masquage
  • Outils de collaboration qui permettent à l’hôte de groupe de partager des données avec un groupe d’attaquants
  • Outils de post-exploitation pour déployer des scripts, enregistrer les frappes et exécuter d’autres charges utiles
  • Des outils de communication cachés qui permettent aux équipes de modifier les indicateurs de réseau en déplacement
  • Navigateur pivotant pour contourner

De plus, Cobalt Strike utilise Beacon, un mécanisme de livraison puissant qui peut être transmis via divers protocoles, et se cacher en modifiant sa signature réseau, en émulant d’autres types de logiciels malveillants et même en se faisant passer pour du trafic légitime.

Même ainsi, Cobalt Strike n’est pas indétectable. Cependant, il nécessite une variété de techniques pour le détecter correctement. Cela inclut des choses comme l’examen des certificats TLS par défaut, la recherche de ports ouverts et l’exécution de requêtes HTTP pour trouver des pages inexistantes. Même dans ce cas, la plupart des organisations ont besoin d’outils avancés pour se défendre contre Cobalt Strike.

Le nouveau webinaire de recherche plonge plus profondément dans Cobalt Strike. Il le fait en explorant quelques domaines :

  • Les bases de Cobalt Strike comme outil d’attaque. Cela comprend la ventilation de son fonctionnement, de ce qui le rend si efficace et de la façon dont les acteurs malveillants l’ont modifié, personnalisé et mis à niveau pour le rendre plus dangereux.
  • Instances à l’état sauvage. Plus que toute recherche théorique, les études de cas en direct fournissent les meilleures informations sur la façon dont Cobalt Strike fonctionne et réussit à pénétrer les défenses des organisations.
  • Une plongée plus approfondie dans les capacités et les outils de déploiement de Cobalt Strike. Le webinaire approfondira également les différentes fonctionnalités de Cobalt Strike, comment elles sont déployées et ce qu’elles font réellement.
  • Comment les organisations peuvent se défendre contre Cobalt Strike. Enfin, le webinaire abordera les façons dont les organisations peuvent détecter et se défendre contre Cobalt Strike, et comment elles peuvent atténuer l’impact d’une infiltration initiale réussie.

Vous pouvez inscrivez-vous ici pour le webinaire.



Leave a Reply