Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 크기 | 775.168 byte (775KB) |
| String Sayisi | 3.679 |
Malleable C2 Profile Parser Hataları
Cobalt Strike Malleable Profile: Config parser artifact'ları!
@unsupported method: -- desteklenmeyen yöntem hatası @config -- config parser keyword @key not found: -- config anahtarı bulunamadı @string literal as key -- string literal'ı key olarak kullanma hatası -- Cobalt Strike Malleable C2 profile YAML/TOML benzeri syntax! -- Bu hata mesajları profil okuyucunun iç error handler'larından -- Profile syntax: "http-get", "http-post", "stage", "post-ex" vb. -- "@key not found" → beacon config key eksikliği → fallback'e düşüyor -- "@unsupported method" → CS3'te kaldırılan eski CS2 profil direktifi
Çift IsDebuggerPresent
IsDebuggerPresent IsDebuggerPresent -- Aynı string iki kez! İki farklı kod yolunda debug kontrol: 1. Başlangıç kontrolü: yürütmeden önce 2. Payload inject öncesi: inject sırasında -- Cobalt Strike beacon: farklı aşamalarda birden fazla debug kontrol
IOC
| SHA256 | ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|
CobaltStrike3 — 악성코드 프로필
Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.
악성코드 유형
C2Framework
프로그래밍 언어
C/C++
C2 프로토콜
HTTP/DNS
대상 시스템
Kurumsal
기능 및 동작
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC 목록 (1 개 지표)
IOC — CobaltStrike3
# SHA256
ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |