В последнее время операторы вымогателей все чаще применяют инструмент Cobalt Strike. Однако злоумышленники используют его не по прямому назначению. Потому специалист по защите информации резюме Минск решил рассказать о том, как можно превратить легитимную программу в опасное ПО.
Что такое Cobalt Strike, специалист по защите информации резюме Минск
Cobalt Strike представляет собой коммерческий фреймворк. Он предназначен для проведения пентестов. К сожалению, особенности этого инструмента очень удобны для хакеров. Конечно, рядовой пользователь не могут просто приобрести Cobalt Strike. Однако злоумышленники давно научились покупать даже запрещенное оборудование. Скорее всего, найти редкую легитимную программу им даже проще. К тому же, сейчас купить полную версию можно за 3,5 тысячи долларов. И, как утверждает специалист по защите информации собеседование Минск, в даркнете немало взломанных версий ПО.
В Cobalt Strike реализовано множество полезных для разработчиков функций. Потому хакеры очень любят использовать этот инструмент. Тем не менее, в последнее время даже эта заинтересованность в Cobalt Strike стала гораздо сильнее. В результате уже около 66% шифровальщиков задействуют при атаках это ПО. По всей видимости, у самих хакеров нет более удобной и практичной программы. Однако, специалист по защите информации средняя зарплата Минск замечает, что ограничение распространения программы решить проблему не поможет.
Какой функционал у Cobalt Strike
Прежде всего стоит отметить, что все программы для пентестов имеют широкие полномочия. Их основная цель заключается в проверке функционирования системы. А потому разработчику крайне важно знать, что именно работает некорректно. Тем не менее, злоумышленники используют легитимные функции для атак. В результате они могут при помощи Cobalt Strike делать следующее:
- развертывать в сети listeners;
- мониторить зараженные узлы;
- отслеживать взаимодействие с сервером;
- получать плейлоады.
Эксперты опасаются, что даже если Cobalt Strike исчезнет с рынка, проблему это не решит. По всей видимости действовать придется совершенно другими методами. Однако есть и хорошая новость. Как оказалось, подробный анализ методов хакеров помогает специалистам. Более того, сейчас они знают, какие именно функции ПО интересны злоумышленникам. Следовательно, можно внедрить в антивирус проверку специальных запросов. То есть если хакер использует Cobalt Strike, антивирус заблокирует такую активность. Разработчики во время проверки системы обычно антивирус отключают. Потому можно легко отличить хакерскую активность от легитимной.
Безусловно, подобный метод защиты не самый надежный. Любой специалист по информационной безопасности в банке Минск подтвердит, что он открывает еще больше возможностей для атак. Тем не менее, эксперты продолжают совершенствовать антивирусы. Возможно, рано или поздно они станут обеспечивать полную защиту от нападений.
