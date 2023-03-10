Sementara AI generasi berikutnya dan komponen machine learning dari solusi keamanan terus meningkatkan kemampuan deteksi berbasis perilaku, pada intinya banyak yang masih mengandalkan deteksi berbasis tanda tangan. Cobalt Strike menjadi kerangka kerja Command and Control (C2) tim merah yang populer digunakan oleh aktor ancaman dan tim merah sejak debutnya, dan terus ditandatangani oleh solusi keamanan.

Untuk melanjutkan penggunaan operasional Cobalt Strike sebelumnya, kami di tim IBM X-Force Red Adversary Simulation menginvestasikan upaya riset dan pengembangan yang signifikan untuk menyesuaikan Cobalt Strike dengan perkakas internal. Beberapa alat internal khusus Cobalt Strike kami memiliki versi publik, seperti "InlineExecute-Assembly", "CredBandit", dan "BokuLoader". Dalam dua tahun terakhir, karena penandatangan Cobalt Strike yang berlebihan, kami membatasi penggunaannya untuk mensimulasikan aktor ancaman yang tidak terlalu canggih, dan sebagai gantinya memanfaatkan pihak ketiga lainnya dan C2 internal ketika melakukan latihan tim merah yang lebih canggih.

Melalui upaya riset dan pengembangan, kami telah menemukan keberhasilan operasional yang lebih baik dalam latihan tim merah tingkat lanjut dengan:

Perkakas internal khusus.

Pemuat internal khusus.

Kerangka kerja C2 internal khusus.

Lanjutkan berinvestasi dalam memperluas kemampuan dan siluman kerangka kerja C2 pihak ketiga alternatif.

Namun, masih ada sejumlah besar aktor ancaman yang memanfaatkan salinan bajakan Cobalt Strike, dan tetap penting untuk dapat mensimulasikan aktor ancaman ini. Untuk tim merah yang bersedia melakukan upaya riset dan pengembangan, mereka mungkin masih menemukan kesuksesan operasional dengan Cobalt Strike sambil mensimulasikan musuh-musuh ini. Selain itu, Cobalt Strike adalah alat pembelajaran yang hebat, yang dapat dimanfaatkan oleh pendatang baru untuk mendapatkan pengalaman dengan kerangka kerja C2 melalui kursus pelatihan tim merah.

Ketika kami terus memperluas kemampuan C2 kami, kami membagikan beberapa insight tentang cara kami membangun kerangka kerja Cobalt Strike di masa lalu, khususnya dengan mengembangkan pemuat reflektif khusus. Ini juga dimaksudkan bagi para pembela untuk memahami cara Cobalt Strike bekerja untuk menciptakan deteksi yang lebih kuat.