Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK

Fichier Kimliği

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Taille775.168 byte
String Sayisi3.679

Ethereum RPC C2 Kanalı

Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io  -- MEV Blocker Ethereum RPC endpoint
-- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor
-- rpc.me + vblocker.io domain fragmentleri

Anti-Debug

SetHandleInformation  -- Debugger handle tespiti/engeli
IsDebuggerPresent     -- Debugger tespiti
CreateMutexW          -- Tekillik mutex

Cobalt Strike Hakkında

Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.

IOC

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
C2rpc.mevblocker.io (ETH RPC üzerinden)

CobaltStrike3 — Profil du malware

Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.

Type de malware
C2Framework
Langage de programmation
C/C++
Protocole C2
HTTP/DNS
Systèmes ciblés
Kurumsal

Capacités et comportement

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

Liste IOC (1 indicateurs)

IOC — CobaltStrike3
# SHA256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
TypeValeurNote
sha256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Tags
cobalt-strikec2-frameworkmevblocker-ioeth-rpcanti-debugset-handle