BlackBerry (纽约证券交易所代码:BB;多伦多证券交易所代码:BB)近日在BlackBerry安全峰会上发布了最新著作《在黑暗中寻找信标——网络威胁情报指南》,旨在解读目前网络攻击者最常用工具之一Cobalt Strike的信标演变及泛滥状况。
在详细介绍预防恶意Cobalt Strike有效载荷方法的同时,该书也概述了为何一款强大的网络威胁情报(CTI)生命周期管理工具,及具备扩展检测与响应(XDR)的解决方案能够提供阻断此类威胁所需的环境。
Cobalt Strike最初只是一款开发用以模拟对手的工具,现已演变为被国家级APT组织、网络黑客等群体最常选择的攻击手段之一。该书重点强调了各种组织和机构目前面临的诸多网络安全威胁,其在此背景下该如何搭建网络防御框架,并揭示了以往认定的毫无关联的网络攻击之间的联系。
由于具有可塑性和可访问性的特点,Cobalt Strike被作为红队常用的工具,现已被网络犯罪分子严重滥用。Cobalt Strike功能丰富,支持多种攻击方法,因此也一直是众多国家级APT组织的首选。对于过去一年半内勒索软件泛滥的现象,Cobalt Strike无疑是起到了推波助澜的作用。
相较于自行开发内部技术,通过地下论坛购买现成的恶意软件和相关工具显然成本更低,而且还会给执法机构造成归因困难,因此Cobalt Strike是企业和网络犯罪分子的理想选择。当网络黑客组织是受雇于国家行为体时,这种归因困难的挑战会更加复杂。
“对网络犯罪分子来说,Cobalt Strike近乎是完美的软件,但同时也凸显了网络安全行业面临的进退两难的核心困境,即精心开发的工具既可以提升网络安全,也会被用以助长网络犯罪。”BlackBerry研究与情报事业部副总裁埃里克·米拉姆(Eric Milam)表示,“Cobalt Strike功能丰富,开发人员还为其提供了完善支持与积极维护。但Cobalt Strike的有效载荷也为网络攻击者提供了许多可乘之机,进而成为了APT组织和网络犯罪新手青睐的选择。”
除了Cobalt Strike被大量应用于地下犯罪活动的原因值得深思,高水平的APT组织对这一工具的持续使用同样值得关注。2021年10月,APT41就使用Cobalt Strike给目标