BlackBerry新書聚焦因Cobalt Strike不斷演變所帶來的網(wǎng)絡威脅

BlackBerry （紐約證券交易所代碼：BB；多倫多證券交易所代碼：BB）近日在BlackBerry安全峰會上發(fā)布了最新著作《在黑暗中尋找信標——網(wǎng)絡威脅情報指南》，旨在解讀目前網(wǎng)絡攻擊者最常用工具之一Cobalt Strike的信標演變及泛濫狀況。

在詳細介紹預防惡意Cobalt Strike有效載荷方法的同時，該書也概述了為何一款強大的網(wǎng)絡威脅情報（CTI）生命周期管理工具，及具備擴展檢測與響應（XDR）的解決方案能夠提供阻斷此類威脅所需的環(huán)境。

Cobalt Strike最初只是一款開發(fā)用以模擬對手的工具，現(xiàn)已演變?yōu)楸粐壹堿PT組織、網(wǎng)絡黑客等群體最常選擇的攻擊手段之一。該書重點強調了各種組織和機構目前面臨的諸多網(wǎng)絡安全威脅，其在此背景下該如何搭建網(wǎng)絡防御框架，并揭示了以往認定的毫無關聯(lián)的網(wǎng)絡攻擊之間的聯(lián)系。

由于具有可塑性和可訪問性的特點，Cobalt Strike被作為紅隊常用的工具，現(xiàn)已被網(wǎng)絡犯罪分子嚴重濫用。Cobalt Strike功能豐富，支持多種攻擊方法，因此也一直是眾多國家級APT組織的首選。對于過去一年半內勒索軟件泛濫的現(xiàn)象，Cobalt Strike無疑是起到了推波助瀾的作用。

相較于自行開發(fā)內部技術，通過地下論壇購買現(xiàn)成的惡意軟件和相關工具顯然成本更低，而且還會給執(zhí)法機構造成歸因困難，因此Cobalt Strike是企業(yè)和網(wǎng)絡犯罪分子的理想選擇。當網(wǎng)絡黑客組織是受雇于國家行為體時，這種歸因困難的挑戰(zhàn)會更加復雜。

“對網(wǎng)絡犯罪分子來說，Cobalt Strike近乎是完美的軟件，但同時也凸顯了網(wǎng)絡安全行業(yè)面臨的進退兩難的核心困境，即精心開發(fā)的工具既可以提升網(wǎng)絡安全，也會被用以助長網(wǎng)絡犯罪。”BlackBerry研究與情報事業(yè)部副總裁埃里克·米拉姆（Eric Milam）表示，“Cobalt Strike功能豐富，開發(fā)人員還為其提供了完善支持與積極維護。但Cobalt Strike的有效載荷也為網(wǎng)絡攻擊者提供了許多可乘之機，進而成為了APT組織和網(wǎng)絡犯罪新手青睞的選擇?！?/p>

除了Cobalt Strike被大量應用于地下犯罪活動的原因值得深思，高水平的APT組織對這一工具的持續(xù)使用同樣值得關注。2021年10月，APT41就使用Cobalt Strike給目標印度公民發(fā)送了釣魚郵件；Dridex操控者也在最近進行的網(wǎng)絡釣魚和惡意垃圾郵件活動中大量利用了Cobalt Strike。

BlackBerry產(chǎn)品工程執(zhí)行副總裁Billy Ho強調，“這本新書旨在通過分享我們的知識來提升網(wǎng)絡安全防護，同時介紹BlackBerry為打造一套Cobalt Strike自動探測系統(tǒng)所采取的步驟，更為重要的是展示如何從生成的數(shù)據(jù)集中挖掘有意義的威脅情報。從而，通過這些信息發(fā)現(xiàn)線索、了解趨勢、獲得威脅組織和攻擊活動的情報?！?/p>

《在黑暗中尋找信標——網(wǎng)絡威脅情報指南》將于2021年11月正式上架。