3520 подписчиков
#news Команда безопасности Гугла опенсорснула 165 правил под YARA и VirusTotal для отслеживания IOC от Cobalt Strike. Акцент сделан на определении версии фреймворка в системах от древней 1.44 по новейшую. Его ломаные версии почти всегда минимум на одну старше официального релиза, так что подбор правил под старые позволяет с большей точностью отследить вредоносную активность.
Помимо этого, в открытый доступ выложили подборку сигнатур под Sliver – аналог Cobalt Strike, также используемый злоумышленниками. Такими темпами недавно взломанный Brute Ratel станет безоговорочным фаворитом у всех крупных группировок. А может, увидим и больше собранных на коленке версий Cobalt Strike от пиратского клана.
Около минуты
22 ноября 2022