Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK

파일 Kimliği

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
크기775.168 byte
String Sayisi3.679

Ethereum RPC C2 Kanalı

Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io  -- MEV Blocker Ethereum RPC endpoint
-- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor
-- rpc.me + vblocker.io domain fragmentleri

Anti-Debug

SetHandleInformation  -- Debugger handle tespiti/engeli
IsDebuggerPresent     -- Debugger tespiti
CreateMutexW          -- Tekillik mutex

Cobalt Strike Hakkında

Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.

IOC

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
C2rpc.mevblocker.io (ETH RPC üzerinden)

CobaltStrike3 — 악성코드 프로필

Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.

악성코드 유형
C2Framework
프로그래밍 언어
C/C++
C2 프로토콜
HTTP/DNS
대상 시스템
Kurumsal

기능 및 동작

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC 목록 (1 개 지표)

IOC — CobaltStrike3
# SHA256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
유형메모
sha256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
태그
cobalt-strikec2-frameworkmevblocker-ioeth-rpcanti-debugset-handle