Cobalt Strike
Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Es wird aber auch häufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet.[1] Zum Funktionsumfang gehören die Angriffs-Aufklärung, das Eindringen, das Errichten eines stabilen Zugangs mit einer soliden Operationsbasis im Netz des Opfers sowie der anschließende Diebstahl von Daten.
| Cobalt Strike
| |
|---|---|
| |
| Basisdaten
| |
| Hauptentwickler | Strategic Cyber LLC |
| Entwickler | Raphael Mudge |
| Erscheinungsjahr | 2012 |
| Aktuelle Version | 4.9 (19. September 2023) |
| Betriebssystem | Verschiedene |
| Kategorie | Pentest-Werkzeug |
| Lizenz | 5.900 US-Dollar pro Benutzer und Jahr |
| deutschsprachig | nein |
| cobaltstrike.com | |
Cobalt Strike kann Sicherheitslücken aufspüren, indem ein Red Team, eine unabhängige Gruppe Programmierer, als Gegner auftritt, der keine oder nur geringe Informationen über das System und seine Struktur besitzt. Eine Sammlung von Angriffstools ist verfügbar,[2] zu den Nachbearbeitungswerkzeugen gehört ein Reportgenerator.
Geschichte Bearbeiten
Seit Oktober 2015 teilt Cobalt Strike seinen Code nicht mehr mit dem grafischen Cyber-Attack-Management-Tool Armitage und hängt auch nicht mehr vom Metasploit Framework ab. Dennoch ist es mit diesen beiden Tools eng verknüpft.
Eigenschaften Bearbeiten
Cobalt Strike kann Taktiken und Techniken eines fortgeschrittenen Gegners in einem Netzwerk nachbilden. Im Gegensatz zu anderen Penetrationstests, die vorrangig auf nicht behobene Schwachstellen und Fehlkonfigurationen abzielen, richtet sich Cobalt Strike auf sicherheitsrelevante Operationen. Cobalt Strike wirkt mithilfe von Nachbearbeitungsagenten und verdeckten Kanälen wie ein unauffälliger, langfristig eingebetteter Akteur im Netzwerk. Die Funktion Malleable C2[3] kann die Netzwerk-Indikatoren ändern, um jedes Mal wie ein anderes Schadprogramm auszusehen.[4]
Ergänzend kann Armitage benutzt werden, um Nutzdaten von Cobalt-Strike an Metasploit zu schicken und gefundene Schwachstellen ausnutzen. Umgekehrt können Metasploit-Angriffe durch einen Tunnel virtuell übertragen werden.
Weblinks Bearbeiten
- Review im Fachmagazin für Informationssicherheit „SC Magazine“ der Haymarket Media
- Review im Fachmagazin „Network World“ der International Data Group
Einzelnachweise Bearbeiten
- ↑ Cobalt Strike: Favorite Tool from APT to Crimeware. Abgerufen am 12. Juli 2021.
- ↑ Adversary Simulation and Red Team Operations Software – Cobalt Strike. Abgerufen am 2. April 2017.
- ↑ Malleable Command and Control Language – Cobalt Strike. Abgerufen am 2. April 2017.
- ↑ Press – Cobalt Strike. Abgerufen am 2. April 2017.