Testování zranitelnosti se provádí za účelem odhalení a klasifikace bezpečnostních mezer v systému. S nárůstem kybernetických útoků se hodnocení zranitelnosti dostalo do centra pozornosti v boji proti bezpečnostním hrozbám.
A pokud jde o hodnocení zranitelnosti, vyniká placený nástroj s názvem Cobalt Strike. Cobalt Strike, propagovaný jako nástroj pro simulaci protivníka, je většinou používán bezpečnostními výzkumníky k hodnocení zranitelností jejich prostředí.
Ale co je Cobalt Strike a jak pomáhá bezpečnostním výzkumníkům při odhalování zranitelností? Má nějaké speciální funkce? Pojďme to zjistit.
Co je Cobalt Strike?
K odvrácení vnějších hrozeb najímá většina podniků a organizací týmy bezpečnostních profesionálů a výzkumníků. Někdy mohou společnosti také outsourcovat etické hackery nebo lovce odměn, aby otestovali jejich síť na slabiny.
K provádění těchto úkolů většina bezpečnostních profesionálů využívá služeb softwaru pro emulaci hrozeb směrem ke zjištění, kde přesně zranitelnosti existují, a jejich nápravě dříve, než k tomu dostane útočník šanci využívat je.
Cobalt Strike je jedním z takových nástrojů a oblíbeným mezi mnoha bezpečnostními výzkumníky, protože provádí skutečné rušivé skenování, aby našel přesné umístění zranitelnosti. Ve skutečnosti je Cobalt Strike navržen tak, aby zabil dvě mouchy jednou ranou, protože může být použit jako nástroj pro hodnocení zranitelnosti a penetrační testování.
Rozdíl mezi posouzením zranitelnosti a penetračním testováním
Většina lidí se plete mezi skenováním zranitelnosti a penetračním testováním. Mohou znít podobně, ale jejich důsledky jsou zcela odlišné.
Posouzení zranitelnosti jednoduše skenuje, identifikuje a hlásí zaznamenané zranitelnosti, zatímco penetrační test se pokouší zneužít zranitelnosti k určení, zda je možný neoprávněný přístup nebo jiná škodlivá aktivita.
Penetrační testování obvykle zahrnuje jak testování pronikání do sítě, tak testování zabezpečení na úrovni aplikace spolu s kontrolami a procesy kolem nich. Aby byl penetrační test úspěšný, měl by být proveden z vnitřní sítě i zvenčí.
Jak Cobalt Strike funguje?
Popularita Cobalt Strike je způsobena hlavně tím, že jeho majáky nebo užitečné zatížení jsou nenápadné a snadno přizpůsobitelné. Pokud nevíte, co je maják, můžete si ho představit jako přímou linku do vaší sítě, jejíž otěže ovládá útočník, aby prováděl škodlivé aktivity.
Cobalt Strike funguje tak, že vysílá majáky k detekci zranitelnosti sítě. Je-li použit k zamýšlenému účelu, simuluje skutečný útok.
Také maják Cobalt Strike může spouštět skripty PowerShell, provádět keylogging činnosti, pořizovat snímky obrazovky, stahovat soubory a vytvářet další užitečné zatížení.
Způsoby, jak může Cobalt Strike pomoci bezpečnostním výzkumníkům
Často je obtížné odhalit mezery nebo zranitelnosti v systému, který jste vytvořili nebo který používáte dlouhou dobu. Pomocí Cobalt Strike mohou bezpečnostní profesionálové snadno identifikovat a napravit zranitelná místa a hodnotit je na základě závažnosti problémů, které mohou potenciálně způsobit.
Zde je několik způsobů, jak mohou nástroje jako Cobalt Strike pomoci bezpečnostním výzkumníkům:
Monitorování kybernetické bezpečnosti
Cobalt Strike může pomoci pravidelně monitorovat kybernetickou bezpečnost společnosti využitím platformy, která útočí firemní síť využívající více vektorů útoků (např. e-mail, procházení internetu, webové aplikace zranitelnosti, sociální inženýrství útoky) k odhalení slabých míst, která by mohla být zneužita.
Odhalení zastaralého softwaru
Cobalt Strike lze použít ke zjištění, zda společnost nebo firma používá zastaralé verze softwaru a zda je vyžadována nějaká záplata.
Identifikace hesel slabých domén
Většina současných narušení bezpečnosti zahrnuje slabá a odcizená hesla. Cobalt Strike se hodí při identifikaci uživatelů se slabými doménovými hesly.
Analýza celkové bezpečnostní pozice
Poskytuje celkový obraz o stavu zabezpečení společnosti, včetně toho, která data mohou být zvláště zranitelná, takže bezpečnostní výzkumníci mohou upřednostňovat rizika, která vyžadují okamžitou pozornost.
Potvrzení účinnosti systémů zabezpečení koncových bodů
Cobalt Strike může také poskytovat testování proti ovládacím prvkům, jako jsou karantény zabezpečení e-mailů, firewally, detekce koncových bodů a antivirový software pro určení účinnosti proti běžným a pokročilým hrozby.
Speciální funkce nabízené Cobalt Strike
K odhalení a nápravě zranitelných míst nabízí Cobalt Strike následující speciální funkce:
Útočný balíček
Cobalt Strike nabízí řadu útočných balíčků k provedení webového útoku nebo k přeměně nevinného souboru na trojský kůň pro simulační útok.
Zde jsou různé útočné balíčky nabízené Cobalt Strike:
- Java applet útoky
- Dokumenty Microsoft Office
- Programy Microsoft Windows
- Nástroj pro klonování webových stránek
Pivoting prohlížeče
Pivoting prohlížeče je technika, která v podstatě využívá zneužitý systém k získání přístupu k ověřeným relacím prohlížeče. Je to účinný způsob, jak demonstrovat riziko pomocí cíleného útoku.
Cobalt Strike implementuje pivotování prohlížeče pomocí a proxy server který se vloží do 32bitového a 64bitového Internet Exploreru. Když procházíte tímto proxy serverem, dědíte soubory cookie, ověřené relace HTTP a certifikáty SSL klientů.
Spear Phishing
Varianta phishingu, spear phishing je metoda, která se záměrně zaměřuje na konkrétní jednotlivce nebo skupiny v rámci organizace. To pomáhá při identifikaci slabých cílů v rámci organizace, jako jsou zaměstnanci, kteří jsou náchylnější k bezpečnostním útokům.
Cobalt Strike nabízí nástroj spear-phishing, který vám umožní importovat zprávu nahrazením odkazů a textu a vytvořit pro vás přesvědčivý phish. Umožňuje vám odeslat tuto pixelově dokonalou spear-phishingovou zprávu pomocí libovolné zprávy jako šablony.
Hlášení a protokolování
Cobalt Strike také nabízí zprávy po exploataci, které poskytují časovou osu a indikátory kompromisu zjištěno během činnosti červeného týmu.
Cobalt Strike exportuje tyto zprávy jako dokumenty PDF i MS Word.
Cobalt Strike – stále preferovaná volba pro bezpečnostní výzkumníky?
Proaktivní přístup ke zmírnění kybernetických hrozeb spočívá v nasazení kybernetické simulační platformy. Zatímco Cobalt Strike má všechny potenciály pro robustní software pro emulaci hrozeb, aktéři hrozeb nedávno našli způsoby, jak jej využít, a používají jej k provádění tajných kybernetických útoků.
Netřeba dodávat, že stejný nástroj, který organizace používají ke zlepšení své bezpečnosti, nyní využívají kyberzločinci k prolomení jejich zabezpečení.
Znamená to, že dny používání Cobalt Strike jako nástroje pro zmírnění hrozeb jsou pryč? No ne tak úplně. Dobrou zprávou je, že Cobalt Strike je postaven na velmi výkonném frameworku a se všemi významnými funkcemi, které nabízí, doufejme zůstane na seznamu oblíbených mezi bezpečnostními profesionály.
Kousek škodlivého softwaru, SquirrelWaffle, je navržen tak, aby způsoboval řetězové infekce. Pojďme se o tomto zákeřném malwaru dozvědět více.
Přečtěte si další
- Bezpečnostní
- Hackování
- Bezpečnostní rizika
Kinza je technologická novinářka s diplomem v oboru počítačových sítí a řadou IT certifikací. Než se pustila do technického psaní, pracovala v telekomunikačním průmyslu. Se specializací na kybernetickou bezpečnost a cloudová témata ji baví pomáhat lidem pochopit a ocenit technologie.
Přihlaste se k odběru našeho newsletteru
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!
Chcete-li se přihlásit k odběru, klikněte sem