Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/21 19:35]
Delimar Danko .
+++ racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/26 15:13] (trenutno)
Delimar Danko [Forenzička analiza Cobalt Strike alata]
@@ Redak 1: / Redak 1: @@
 ===== Forenzička analiza Cobalt Strike alata =====
+Video - [[https://ferhr-my.sharepoint.com/:v:/g/personal/dd54160_fer_hr/EbuzcGfbzJ5NhQrE7C4SedYBRKa7Tez1Y5WRdPkNmdzsUg?e=uiUPAI&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Sharepoint]]
 ===== Sažetak =====
 Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji.
@@ Redak 62: / Redak 62: @@
 ===== Ostali Cobalt artefakti =====
 == Powershell ==
-Powershell je ugrađen u brojne obrasce izvršavanja unutar Cobalt Strikea i često postoje argumenti u tom izvršavanju koji su vrlo rijetko korišteni u normalnim uvjetima.
+Powershell je ugrađen u brojne obrasce izvršavanja unutar Cobalt Strikea i često postoje argumenti u tom izvršavanju koji su vrlo rijetko korišteni u normalnim uvjetima. Primjer takvih argumenata su: //nop, hidden, encodedcommand, nologo// i //noprofile//. Također, ne postoji razuman razlog zašto bi primjerice //word.exe// pokretao powershell pa ako postoji trag da neki nerazumni proces pokreću powershell to je dobar znak za dodatnu istragu.[6]
-===== Zaključak =====
+== Detekcija rundll32.exe procesa ==
+Ako nije promijenjeno, a po nekim podacima u čak 90% //beacona// nije[6], //beacon// koristi rundll32.exe za izvršavanje poslije eksploitacijskih aktivnosti. Takve aktivnosti su migriranje u druge procese i izvršavanje poslije eksploitacijskih alata kao što je Rubeus. Ako se detektira da neki proces pokreće rundll32.exe to je jedan od mogućih razloga za dodatnu istragu pomoću ostalih metoda navedenih prije.
+===== Zaključak =====
+Cobalt Strike je alat koji je moguće promijeniti do razine da je neprepoznatiljiv tradicionalnih forenzičkim metodama. Na sreću, ili na žalost ovisno o perspektivi, takve modifikacije zahtjevaju značajan trud s napadačke strane i većina napadače nema znanje niti vremena za takve modifikacije. Zato su metode poput YARA potpisa ili analize mrežnog prometa i dalje jako efektivne. Ako se sumnja da je neki proces ili računalo zaraženo Cobalt Strikeom, uvježbani analitičar ga može pronaći pomoću memorijskih artefakata koje ostavlja i tipičnih uzoraka korištenja kao što je pokretanje rundll32.exe procesa za izvršavnje poslije eksploitacijskih aktivnosti.
@@ Redak 78: / Redak 82: @@
 [5] [[https://unit42.paloaltonetworks.com/cobalt-strike-team-server/]]
+[6] [[https://socfortress.medium.com/detecting-cobalt-strike-beacons-3f8c9fdcb654]]

racfor_wiki/seminari2024/forenzicka_analiza_cobalt_strike_alata.1737488134.txt.gz · Zadnja izmjena: 2025/01/21 19:35 od Delimar Danko