Google加强对Cobalt Strike的监测和干扰

关键要点

• Google推出VirusTotal集合和YARA规则，增强对Cobalt Strike工具的检测。
• 新特性能够帮助组织识别Cobalt Strike的各个组成部分，如JavaScript、VBA宏和PowerShell脚本模板。
• Google表示，Cobalt Strike的攻击组件并不会在运行时动态生成，也不会在从服务器部署前进行复杂混淆。

Google近期采取措施，加强对红队工具的检测和干扰。根据的报道，该工具现已演变为远程访问工具部署系统。借助新发布的VirusTotal集合和YARA规则，组织可以利用这些新功能识别CobaltStrike的各个组成部分，包括用于部署shellcode植入物的JavaScript、VBA宏和PowerShell脚本模板，最终导致有效载荷的交付。

“启动器、模板和信标都包含在Cobalt Strike的JAR文件中。它们不会在运行时动态生成，也不会在从服务器部署之前进行复杂混淆。Cobalt Strike使用可逆的XOR编码提供基本的保护。”Google表示，并指出其基于YARA的检测是基于发现的Cobalt Strike JAR文件开发的。

与此同时，数百条签名已被整合到VirusTotal集合中。Google补充道：“我们还将这些签名作为开源发布，供有兴趣在自身产品中部署的网络安全供应商使用，继续致力于改善整个行业的开源安全。”

通过此措施，Google旨在提高Cobalt Strike的检测难度，从而加强网络安全，帮助各组织抵御潜在的网络攻击。