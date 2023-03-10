Embora os componentes de IA e aprendizado de máquina de última geração das soluções de segurança continuem aprimorando os recursos de detecção baseada em comportamento, em sua essência, muitos ainda dependem de detecções baseadas em assinatura. O Cobalt Strike sendo um framework popular de comando e controle (C2) de equipe vermelha, usado tanto por agentes de ameaça quanto por equipes vermelhas desde sua estreia, continua a ser fortemente assinado por soluções de segurança.

Para continuar o uso operacional do Cobalt Strike no passado, nós, da IBM X-Force Red Adversary Simulation, investimos esforços significativos de pesquisa e desenvolvimento para personalizar o Cobalt Strike com ferramentas internas. Algumas de nossas ferramentas internas específicas para o Cobalt Strike possuem versões públicas, como “InlineExecute-Assembly”, “CredBandit” e “BokuLoader”. Nos últimos dois anos, dada a assinatura excessiva do Cobalt Strike, restringimos seu uso à simulação de agentes da ameaça menos sofisticados e, em vez disso, aproveitamos outros C2 de terceiros e internos ao realizar exercícios mais avançados de red team.

Por meio de esforços de pesquisa e desenvolvimento, encontramos o melhor sucesso operacional em exercícios avançados de equipe vermelha com:

Ferramentas internas personalizadas.

Carregadores internos personalizados.

Framework de C2 interno personalizado.

Continuar investindo na expansão dos recursos e da furtividade de frameworks de C2 alternativos de terceiros.

No entanto, ainda há uma grande quantidade de agentes de ameaças utilizando cópias piratas do Cobalt Attack, e continua sendo importante poder simular esses agentes de ameaças. Para as equipes vermelhas dispostas a se esforçar em pesquisa e desenvolvimento, elas ainda podem encontrar sucesso operacional com o Cobalt Attack ao simular esses adversários. Além disso, o Cobalt Strike é uma ótima ferramenta de aprendizado, que pode ser aproveitado por recém-chegados para obter experiência com um framework de C2 por meio de cursos de treinamento de equipe vermelha.

À medida que continuamos a expandir nossos recursos de C2, estamos compartilhando alguns insights sobre como, no passado, evoluímos a partir do framework Cobalt Strike, especificamente por meio do desenvolvimento de carregadores reflexivos personalizados. Este conteúdo também tem como objetivo ajudar defensores a compreender melhor como o Cobalt Strike funciona, de modo a possibilitar a criação de detecções mais robustas.