11 月 22 日消息，Google Cloud Threat Intelligence 團隊近日宣布開源 YARA 規(guī)則和 VirusTotal Collection of indicators of compromise (IOCs) ，幫助企業(yè)抵御 Cobalt Strike 攻擊。

Google Cloud Threat Intelligence 安全工程師格雷格?辛克萊爾(Greg Sinclair)表示：

我們正在向社區(qū)發(fā)布一套開源的 YARA 規(guī)則，并將其整合到 VirusTotal 集合中，幫助社區(qū)標記和識別 Cobalt Strike 的組件及其各自的版本。由于有些版本已經(jīng)被威脅行為者濫用，因此檢測 Cobalt Strike 的確切版本，是確定非惡意行為者使用合法性的一個重要組成部分。

IT之家了解到，Cobalt Strike 的破解版和泄露版在大多數(shù)情況下至少落后一個版本，這使得谷歌能夠收集數(shù)百個被黑客使用的框架、模板和信標樣本，以建立具有高度準確性的基于 YARA 的檢測規(guī)則。

辛克萊爾補充道：

我們的目標是進行高保真檢測，以便能夠準確地確定特定 Cobalt Strike 組件的版本。只要有可能，我們會建立簽名來檢測 Cobalt Strike 組件的特定版本。

IT之家了解到，Cobalt Strike(由 Fortra 公司開發(fā)，曾叫做 Help Systems)是一個合法的滲透測試工具，自 2012 年以來一直處于開發(fā)狀態(tài)。它被設(shè)計為紅色團隊的攻擊框架，用于掃描其組織的基礎(chǔ)設(shè)施，以尋找漏洞和安全漏洞。這導致 Cobalt Strike 成為網(wǎng)絡(luò)攻擊中最常用的工具之一，可能導致數(shù)據(jù)被盜和勒索軟件。

關(guān)鍵詞： 谷歌 企業(yè)