セキュリティー・ソリューションの次世代AIや機械学習コンポーネントによって行動ベースの検知機能が強化され続けていますが、その中核となる方法としては依然としてシグネチャー・ベースの検知に依存しています。Cobalt Strikeは、脅威アクターやレッド・チームの両方に利用されている人気のレッド・チームの指揮統制（C2）フレームワークであり、セキュリティソリューションによるシグネチャー検出が依然として頻繁に行われています。

過去におけるCobalt Strikesの運用利用を進化させるために、IBM® X-Force Red Adversary Simulationチームは、Cobalt Strikeを内部ツールでカスタマイズするために、多大な研究を行いました。Cobalt Strike固有の内部ツールには、「InlineExecute- Assembly」、「CredBandit」、「BokuLoader」など、公開バージョンがあるものもあります。過去2年間では、Cobalt Strikeの過剰なシグネチャー検出があったことを踏まえ、IBMでは、その使用をあまり洗練されていない脅威アクターのシミュレーションに限定し、より高度なレッド・チーム演習を実行する際には、他のサード・パーティーや社内のC2を活用しています。

研究開発の取り組みを通じて、以下のような高度なレッド・チーム演習の運用上の成功が見られました。

カスタム内部ツール。

カスタムの内部ローダー。

カスタム内部C2フレームワーク。

代替のサード・パーティC2フレームワークの機能とステルスを拡大するための投資を継続します。

ただし、Cobalt Strikeの偽造コピーを利用する脅威アクターは依然として多数存在しており、これらの脅威アクターをシミュレートできることは依然として重要です。研究開発に前向きなレッド・チームの場合、これらの敵対者をシミュレートしながらCobalt Strikeでの運用が成功する可能性があります。さらに、Cobalt Strikeは優れた学習ツールであり、初心者はレッド・チーム・トレーニング・コースを通じてC2フレームワークの実践的な経験を積むことができます。

C2機能の拡張を続ける中で、特にカスタムReflective Loaderを開発することによって、過去にCobalt Strikeフレームワークをどのように構築してきたかについての洞察を共有しています。また、防御側が、Cobalt Strikeがどのようにしてより堅牢な検出を作成するかを理解することも目的としています。