Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/21 18:48]
Delimar Danko yara file 		racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/26 15:13] (trenutno)
Delimar Danko [Forenzička analiza Cobalt Strike alata]
Redak 1: Redak 1:
  
 ===== Forenzička analiza Cobalt Strike alata ===== ===== Forenzička analiza Cobalt Strike alata =====
 +Video - [[https://ferhr-my.sharepoint.com/:v:/g/personal/dd54160_fer_hr/EbuzcGfbzJ5NhQrE7C4SedYBRKa7Tez1Y5WRdPkNmdzsUg?e=uiUPAI&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Sharepoint]]
 ===== Sažetak ===== ===== Sažetak =====
 Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji. Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji.
Redak 57: Redak 57:
 Cobalt Strike //beaconi// kao osnovnu funkciju imaju komunikaciju s C2 serverom. Specifično ta komunikacija može biti preko HTTP, HTTPS, SMB, DNS ili TCP protokola. Ako neki proces koji nema razloga komunicirati tim protokolima s internetom (npr. word.exe, rundll.exe) ili neki proces koji prije nije komunicirao tim protokolima krene komunicirati njima to može biti znak za dodatnu istragu. Sam promet je opet vrlo konfigurabilan pomoću MalleableC2, ali ako taj promet nije konfiguriran potpisi u većini komercijalnih rješenja će ga uloviti. Kako bismo vidjeli kako taj promet može izgledati, možemo pogledati javno dostupne profile nastale na temelju istraga kampanja APT grupa [4]. Možemo vidjeti da se ti profili generalno maskiraju kao promet prema nekim web stranicama. Podatci koje Cobalt prenosi serveru se često stavljaju u URL parametre ako je riječ u GET zahtjevu ili u tijelo poruke ako je riječ o POST zahtjevu. URL parametri ili tijelo poruke koje je veliko i/ili šifrirano može biti znak za dodatno provjeriti komunikaciju prema web stranici. Ako stranica nikad nije posjećena prije i ima takav promet to može biti dodatan znak za ljudsku provjeru same stranice i procesa koji komunicira s njom. Cobalt Strike //beaconi// kao osnovnu funkciju imaju komunikaciju s C2 serverom. Specifično ta komunikacija može biti preko HTTP, HTTPS, SMB, DNS ili TCP protokola. Ako neki proces koji nema razloga komunicirati tim protokolima s internetom (npr. word.exe, rundll.exe) ili neki proces koji prije nije komunicirao tim protokolima krene komunicirati njima to može biti znak za dodatnu istragu. Sam promet je opet vrlo konfigurabilan pomoću MalleableC2, ali ako taj promet nije konfiguriran potpisi u većini komercijalnih rješenja će ga uloviti. Kako bismo vidjeli kako taj promet može izgledati, možemo pogledati javno dostupne profile nastale na temelju istraga kampanja APT grupa [4]. Možemo vidjeti da se ti profili generalno maskiraju kao promet prema nekim web stranicama. Podatci koje Cobalt prenosi serveru se često stavljaju u URL parametre ako je riječ u GET zahtjevu ili u tijelo poruke ako je riječ o POST zahtjevu. URL parametri ili tijelo poruke koje je veliko i/ili šifrirano može biti znak za dodatno provjeriti komunikaciju prema web stranici. Ako stranica nikad nije posjećena prije i ima takav promet to može biti dodatan znak za ljudsku provjeru same stranice i procesa koji komunicira s njom.
  
-===== Zaključak =====+== Detekcija teamservera == 
 +Pošto //beacon// mora komunicirati s teamserverom nekako, moguće je da napadači ostave teamserver otvoren prema internetu. Ako je teamserver otvoren i njegove osnovne postavke nisu promjenjene on će slušati na portu 50050 i poznati su TLS certifikati koje taj server koristi za HTTPS komunikaciju. Poznati su i JARM sažetci pošto je teamserver pisan u javi.[5]
  
 +===== Ostali Cobalt artefakti =====
 +== Powershell ==
 +Powershell je ugrađen u brojne obrasce izvršavanja unutar Cobalt Strikea i često postoje argumenti u tom izvršavanju koji su vrlo rijetko korišteni u normalnim uvjetima. Primjer takvih argumenata su: //nop, hidden, encodedcommand, nologo// i //noprofile//. Također, ne postoji razuman razlog zašto bi primjerice //word.exe// pokretao powershell pa ako postoji trag da neki nerazumni proces pokreću powershell to je dobar znak za dodatnu istragu.[6]
 +
 +== Detekcija rundll32.exe procesa ==
 +Ako nije promijenjeno, a po nekim podacima u čak 90% //beacona// nije[6], //beacon// koristi rundll32.exe za izvršavanje poslije eksploitacijskih aktivnosti. Takve aktivnosti su migriranje u druge procese i izvršavanje poslije eksploitacijskih alata kao što je Rubeus. Ako se detektira da neki proces pokreće rundll32.exe to je jedan od mogućih razloga za dodatnu istragu pomoću ostalih metoda navedenih prije.
 +
 +
 +===== Zaključak =====
 +Cobalt Strike je alat koji je moguće promijeniti do razine da je neprepoznatiljiv tradicionalnih forenzičkim metodama. Na sreću, ili na žalost ovisno o perspektivi, takve modifikacije zahtjevaju značajan trud s napadačke strane i većina napadače nema znanje niti vremena za takve modifikacije. Zato su metode poput YARA potpisa ili analize mrežnog prometa i dalje jako efektivne. Ako se sumnja da je neki proces ili računalo zaraženo Cobalt Strikeom, uvježbani analitičar ga može pronaći pomoću memorijskih artefakata koje ostavlja i tipičnih uzoraka korištenja kao što je pokretanje rundll32.exe procesa za izvršavnje poslije eksploitacijskih aktivnosti.
  
  
Redak 70: Redak 81:
 [4] [[https://github.com/BC-SECURITY/Malleable-C2-Profiles|Malleable profili]] [4] [[https://github.com/BC-SECURITY/Malleable-C2-Profiles|Malleable profili]]
  
 +[5] [[https://unit42.paloaltonetworks.com/cobalt-strike-team-server/]]
 +
 +[6] [[https://socfortress.medium.com/detecting-cobalt-strike-beacons-3f8c9fdcb654]]
  
racfor_wiki/seminari2024/forenzicka_analiza_cobalt_strike_alata.1737485303.txt.gz · Zadnja izmjena: 2025/01/21 18:48 od Delimar Danko
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0