Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK
Datei Kimliği
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| Größe | 775.168 byte |
| String Sayisi | 3.679 |
Ethereum RPC C2 Kanalı
Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io -- MEV Blocker Ethereum RPC endpoint -- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor -- rpc.me + vblocker.io domain fragmentleri
Anti-Debug
SetHandleInformation -- Debugger handle tespiti/engeli IsDebuggerPresent -- Debugger tespiti CreateMutexW -- Tekillik mutex
Cobalt Strike Hakkında
Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.
IOC
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| C2 | rpc.mevblocker.io (ETH RPC üzerinden) |
CobaltStrike3 — Malware-Profil
Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.
Malware-Typ
C2Framework
Programmiersprache
C/C++
C2-Protokoll
HTTP/DNS
Zielsysteme
Kurumsal
Fähigkeiten & Verhalten
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC-Liste (1 Indikatoren)
IOC — CobaltStrike3
# SHA256
ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |