Google Cloud, müşteriler için geniş çapta kötüye kullanılan CobaltStrike penetrasyon testi aracının neredeyse tüm ana sürümlerine karşı koruma sağlayan yeni özellikler ekledi. Yeni açık kaynaklı YARA kurallarının kullanıma sunulmasıyla, Google Cloud müşterileri artık Cobalt Strike’ın 2012’ye kadar uzanan tüm sürümleri için çok çeşitli algılama imzalarından yararlanabilecek.
Cobalt Strike, genellikle kırmızı ekip siber güvenlik eğitim tatbikatlarında kullanılan meşru ve ticari bir sızma testi aracı. Ayrıca, tehdit aktörleri tarafından izinsiz giriş ve kötü niyetli gerçek dünya saldırılarında yanal hareket için geniş çapta kırılıyor, paylaşılıyor ve kötüye kullanılıyor.
Uygulama yeni algılama imzaları ekliyor
Yazılım paketi, yürütülmesi kolay bilgisayar korsanlığı araçlarıyla önceden yüklenmiş olarak geliyor ve uzaktan erişim saldırıları gerçekleştirmek ve kötü amaçlı yazılım yüklerini bırakmak için en yaygın kullanılan programlar arasında yer alıyor.
Google Cloud, benzersiz JAR dosyaları, hazırlayıcılar, şablonlar ve işaretçilerle ayırt edilen 300’den fazla farklı Cobalt Strike ikili dosyasını taramak için 165 algılama imzası ekledi. Google Cloud bir blog gönderisinde, “Topluluğun Cobalt Strike bileşenlerini ve ilgili sürümlerini işaretlemesine ve tanımlamasına yardımcı olmak için topluluğa bir dizi açık kaynak YARA kuralı ve bunların VirusTotal Koleksiyonu olarak entegrasyonunu yayınlıyoruz.” dedi.
Google Cloud son hız çalışmaya devam ediyor
Cobalt Strike, çok çeşitli bilgisayar korsanları tarafından kullanılıyor. Ryuk ve BlackCat gibi fidye yazılımı saldırılarına karışarak LockBit ve Cl0p’yi düşürmek için kullanılan Raspberry Robin solucanının bırakılmasına karıştı.
Google Cloud’un yeni YARA kuralları, müşterilerinin birçoğunun Cobalt Strike kullanımını otomatik olarak algılamasına ve saldırıları erken aşamalarında, ideal olarak zararlı kötü amaçlı yazılımlar dağıtılmadan önce önlemesine yardımcı olacak. Google Cloud, bulut ortamlarında tehdit avcılığına yardımcı olan açık kaynaklı sorgular geliştirmek için bu yılın başlarında siber güvenlik şirketi MITRE ile ortaklığını genişletti.
Kötü amaçlı yazılımlar tekrar yükleniyor
YARA kurallarının yayınlanmasıyla bu girişim, müşterilerin güvenlik tehditlerini proaktif bir şekilde aramasını kolaylaştırmayı amaçlıyor ve Google Cloud’un genellikle farklı güvenlik sinyalleri hakkında derinlemesine bilgi gerektiren karmaşık bir görev olduğunu söylediği şeyin yerini alıyor.
“Üç büyük” genel bulut sağlayıcısı da bu yıl Chronicle platformunu güçlendiriyor. Şirket, ilk olarak Şubat ayında Siemplify’ı satın aldı ve yine Ağustos ayında yeni tehdit algılama yeteneklerinin genel kullanılabilirliğini sağladı. Google Cloud ayrıca, bu yılın başlarında kurumsal bulut ortamlarında artan kripto madenciliği sorununa da dikkat çekiyor. Kripto madenciliğinin bulut müşterilerine yönelik giderek daha popüler, mali amaçlı bir saldırı olduğunu ve vakaların yarısından fazlasında kullanılan kötü amaçlı yazılımın platformu tehlikeye attıktan sonraki 22 saniye içinde yüklendiğini söylüyor.