谷歌发现34个破解版本的热门Cobalt Strike黑客工具包

谷歌云（Google Cloud）上周披露，它在野外发现了34个不同的Cobalt Strike工具黑客版本，其中最早的版本于2012年11月发布。

根据谷歌云威胁情报（GCTI）团队的调查结果，这些版本从1.44到4.7，总共有275个独特的JAR文件。钴击的最新版本是4.7.2版。

Cobalt Strike由Fortra（née HelpSystems）开发，是一种受欢迎的对抗框架，红色团队使用它来模拟攻击场景并测试其网络防御能力。

它包括一个充当指挥和控制（C2）中心的团队服务器，以远程控制受感染的设备，以及一个旨在提供下一阶段有效载荷的stager，称为Beacon，这是一个功能齐全的植入物，可向C2服务器报告。

由于该软件具有广泛的功能，许多威胁行为者越来越多地将其未经授权的版本武器化，以推进其开发后的活动。

“虽然Cobalt Strike的意图是模仿真实的网络威胁，但恶意行为者已经掌握了它的能力，并将其作为受害者网络中横向移动的强大工具，作为其第二阶段攻击有效载荷的一部分，”谷歌纪事报子公司的逆向工程师格雷格·辛克莱（Greg Sinclair）说。

为了解决这种滥用，GCTI发布了一套开源的YARA规则，以标记恶意黑客组织使用的软件的不同变体。

辛克莱说，我们的想法是“删除坏版本，同时保留合法版本”，并补充道“我们的意图是将该工具移回合法红色团队的领域，让坏人更难滥用”。