Google จัดทำ YARA Rule ตรวจจับการถูกโจมตีด้วย Cobalt Strike

ทีมงาน Google Cloud Threat Intelligence ได้เปิดโอเพ่นซอร์ส YARA Rule ที่สามารถตรวจจับการใช้งาน Cobalt Strike ซึ่งเป็นอีกหนึ่งเครื่องมือที่ได้รับความนิยมในหมู่แฮ็กเกอร์ นอกจากนี้ยังมีข้อมูล IoC ใน VirusTotal ด้วย

Cobalt Strike คือเครื่องมือสำหรับการทดสอบเจาะระบบซึ่งพัฒนาขึ้นตั้งแต่ปี 2012 แต่บริษัทผู้พัฒนาก็ได้พยายามคัดกรองผู้ใช้โดยซอฟต์แวร์เป็นแบบเพื่อการค้าเท่านั้น อย่างไรก็ดีในกลุ่มแฮ็กเกอร์มักจะมีการเผยแพร่เวอร์ชันที่ถูกแคร็กมาได้ ซึ่งความแตกต่างคือเวอร์ชันมักจะตามหลังของถูกกฏหมาย ด้วยเหตุนี้เองการรู้ถึงเวอร์ชันของซอฟต์แวร์จึงมีความหมายสำคัญที่พอจะแยกแยะได้ว่าการใช้งานนั้นเป็นการโจมตีหรือไม่ 

และด้วยความสำคัญดังกล่าวทีมงาน Googleได้รวบรวมข้อมูลมาประมวลเป็น YARA Rule เปิดเป็นโอเพ่นซอร์สให้ฝ่ายป้องกันสามารถที่จะตรวจจับการทำงานของ Cobalt Strike ได้ดีขึ้นพร้อมเพิ่มฐานความรู้นี้ให้กับ VirusTotal อีกด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/google-releases-165-yara-rules-to-detect-cobalt-strike-attacks/