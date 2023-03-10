بينما تواصل عناصر الذكاء الاصطناعي من الجيل التالي والتعلم الآلي ضمن حلول الأمن تعزيز قدرات الكشف القائمة على السلوك، لا يزال العديد منها يعتمد في جوهره على أساليب الكشف القائمة على التوقيع. نظرًا لأن Cobalt Strike يُعَد إطار عمل شائعًا للتحكم والقيادة (C2) لدى الفريق الأحمر، ويُستخدم كذلك من قِبل عناصر التهديد منذ إطلاقه، فإنه لا يزال يخضع على نطاق واسع للكشف المعتمد على التوقيع من قِبل الحلول الأمنية.

لمواصلة الاستخدام التشغيلي لأداة Cobalt Strike كما كان في السابق، استثمرنا نحن في فريق IBM X-Force Red Adversary Simulation جهودًا كبيرة في البحث والتطوير لتخصيص Cobalt Strike باستخدام أدوات داخلية. تتوفر لبعض أدواتنا الداخلية الخاصة بـ Cobalt Strike إصدارات عامة، مثل "InlineExecute-Assembly"، و"CredBandit"، و"BokuLoader". خلال العامين الماضيين، وبسبب الإفراط في الاعتماد على التواقيع المرتبطة بأداة Cobalt Strike، قمنا بتقييد استخدامه ليقتصر على محاكاة عناصر تهديد أقل تعقيدًا، ونعتمد بدلًا من ذلك على أطر تحكم وقيادة (C2) أخرى من جهات خارجية ومن تطويرنا الداخلي عند تنفيذ تمارين الفريق الأحمر أكثر تقدمًا.

من خلال جهود البحث والتطوير، توصلنا إلى تحقيق نجاح تشغيلي أفضل في تمارين الفريق الأحمر المتقدمة باستخدام:

أدوات داخلية مخصصة.

وحدات تحميل داخلية مخصصة.

إطار تحكم وقيادة (C2) داخلي مخصص.

الاستمرار في الاستثمار لتوسيع قدرات أطر C2 البديلة من الأطراف الثالثة وتعزيز مستوى التخفي لديها.

ومع ذلك، لا يزال عدد كبير من عناصر التهديد يعتمد على نسخ مقرصنة من Cobalt Strike، ما يجعل من المهم الاستمرار في القدرة على محاكاة هذه العناصر. بالنسبة إلى الفريق الأحمر المستعد لبذل جهد في البحث والتطوير، لا يزال بالإمكان تحقيق نجاح تشغيلي باستخدام Cobalt Strike عند محاكاة هذه الجهات المعادية. بالإضافة إلى ذلك، تُعَد Cobalt Strike أداة تعليمية ممتازة، يمكن للمبتدئين الاستفادة منها للحصول على خبرة عملية مع إطار عمل C2 من خلال دورات تدريبية للفريق الأحمر.

ومع استمرارنا في توسيع قدراتنا في مجال C2، نشارك بعض الرؤى حول كيفية البناء على إطار عمل Cobalt Strike في السابق، وتحديدًا من خلال تطوير محمِّلات انعكاسية مخصصة. كما يهدف هذا المحتوى إلى تمكين فِرق الدفاع من فهم آلية عمل Cobalt Strike لبناء قدرات كشف أكثر قوة.