谷歌开源165条YARA规则，帮助企业检测CobaltStrike攻击

，谷歌云威胁情报团队最近宣布开源YARA规则和Virustotal收集的妥协指标，以帮助企业抵御Cobalt Strike攻击。

谷歌云威胁情报的安全工程师格雷格·辛克莱说:

我们正在向社区发布一组开源YARA规则，并将它们集成到VirusTotal集合中，以帮助社区标记和识别Cobalt Strike的组件及其各自的版本由于一些版本已被威胁行为者滥用，检测钴击的确切版本是确定非恶意行为者使用合法性的重要部分

本站了解到，破解版和泄露版的Cobalt Strike在大多数情况下至少落后一个版本，这使得谷歌能够收集数百个黑客使用的框架，模板和信标样本，以建立基于YARA的高准确度检测规则。

辛克莱补充道:

我们的目标是进行高保真测试，以便可以准确地确定特定Cobalt Strike组件的版本只要有可能，我们将建立签名，以检测钴罢工组件的特定版本

本站了解到，Cobalt Strike是一个合法的渗透测试工具，自2012年以来一直在开发中它被设计为红队的攻击框架，用于扫描其组织的基础设施的漏洞和安全漏洞这使得Cobalt Strike成为网络攻击中最常用的工具之一，可能会导致数据窃取和勒索软件