加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

BlackBerry新书聚焦因Cobalt Strike不断演变所带来的网络威胁

2021/10/22
189
阅读需 5 分钟
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

BlackBerry (纽约证券交易所代码:BB;多伦多证券交易所代码:BB)近日在BlackBerry安全峰会上发布了最新著作《在黑暗中寻找信标——网络威胁情报指南》,旨在解读目前网络攻击者最常用工具之一Cobalt Strike的信标演变及泛滥状况。

在详细介绍预防恶意Cobalt Strike有效载荷方法的同时,该书也概述了为何一款强大的网络威胁情报(CTI)生命周期管理工具,及具备扩展检测与响应(XDR)的解决方案能够提供阻断此类威胁所需的环境。

Cobalt Strike最初只是一款开发用以模拟对手的工具,现已演变为被国家级APT组织、网络黑客等群体最常选择的攻击手段之一。该书重点强调了各种组织和机构目前面临的诸多网络安全威胁,其在此背景下该如何搭建网络防御框架,并揭示了以往认定的毫无关联的网络攻击之间的联系。

由于具有可塑性和可访问性的特点,Cobalt Strike被作为红队常用的工具,现已被网络犯罪分子严重滥用。Cobalt Strike功能丰富,支持多种攻击方法,因此也一直是众多国家级APT组织的首选。对于过去一年半内勒索软件泛滥的现象,Cobalt Strike无疑是起到了推波助澜的作用。

相较于自行开发内部技术,通过地下论坛购买现成的恶意软件和相关工具显然成本更低,而且还会给执法机构造成归因困难,因此Cobalt Strike是企业和网络犯罪分子的理想选择。当网络黑客组织是受雇于国家行为体时,这种归因困难的挑战会更加复杂。

“对网络犯罪分子来说,Cobalt Strike近乎是完美的软件,但同时也凸显了网络安全行业面临的进退两难的核心困境,即精心开发的工具既可以提升网络安全,也会被用以助长网络犯罪。”BlackBerry研究与情报事业部副总裁埃里克·米拉姆(Eric Milam)表示,“Cobalt Strike功能丰富,开发人员还为其提供了完善支持与积极维护。但Cobalt Strike的有效载荷也为网络攻击者提供了许多可乘之机,进而成为了APT组织和网络犯罪新手青睐的选择。”

除了Cobalt Strike被大量应用于地下犯罪活动的原因值得深思,高水平的APT组织对这一工具的持续使用同样值得关注。2021年10月,APT41就使用Cobalt Strike给目标印度公民发送了钓鱼邮件;Dridex操控者也在最近进行的网络钓鱼和恶意垃圾邮件活动中大量利用了Cobalt Strike。

BlackBerry产品工程执行副总裁Billy Ho强调,“这本新书旨在通过分享我们的知识来提升网络安全防护,同时介绍BlackBerry为打造一套Cobalt Strike自动探测系统所采取的步骤,更为重要的是展示如何从生成的数据集中挖掘有意义的威胁情报。从而,通过这些信息发现线索、了解趋势、获得威胁组织和攻击活动的情报。”

《在黑暗中寻找信标——网络威胁情报指南》将于2021年11月正式上架。

相关推荐

电子产业图谱