Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK

Файл Kimliği

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Размер775.168 byte
String Sayisi3.679

Ethereum RPC C2 Kanalı

Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io  -- MEV Blocker Ethereum RPC endpoint
-- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor
-- rpc.me + vblocker.io domain fragmentleri

Anti-Debug

SetHandleInformation  -- Debugger handle tespiti/engeli
IsDebuggerPresent     -- Debugger tespiti
CreateMutexW          -- Tekillik mutex

Cobalt Strike Hakkında

Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.

IOC

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
C2rpc.mevblocker.io (ETH RPC üzerinden)

CobaltStrike3 — Профиль вредоносного ПО

Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.

Тип вредоносного ПО
C2Framework
Язык программирования
C/C++
C2 Протокол
HTTP/DNS
Целевые системы
Kurumsal

Возможности и поведение

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

Список IOC (1 индикаторов)

IOC — CobaltStrike3
# SHA256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
ТипЗначениеПримечание
sha256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Теги
cobalt-strikec2-frameworkmevblocker-ioeth-rpcanti-debugset-handle