Cobalt Strike


Hari ini saya baca paper cisco talos tentang cobalt strike. Cobalt strike ini salah satu “malware toolkit” berbayar yang populer. Malware toolkit itu tools/software buat bikin malware. Jadi dengan beli malware toolkit ini, kalo orang mau bikin malware gak perlu skill coding tingkat dewa. Cukup memilih beberapa konfigurasi yang tersedia di cobalt, klak klik jadi deh malwarenya.

Cobalt strike (CS) banyak ditemukan dalam serangan APT misalnya APT IndigoDrop dan berbagai serangan ransomware. Bahkan menurut cisco 66% serangan ransomware dibuat dengan menggunakan CS ini.

BTW APT itu (Advance persistent Threat). APT ini istilah yang digunakan untuk sebuah operasi hacking yang canggih, biasanya memiliki target khusus, atau orang-orang tertentu, misalnya seorang pejabat penting. Setelah berhasil mendapat akses ke komputer target, penyerang mengumpulkan informasi dari komputer target, dan memiliki akses ke komputer target selama waktu yang cukup lama, namun saking canggihnya tidak dapat dideteksi keberadaannya oleh korban.

Modul Utama CS ini diantaranya:

  1. Listener: listener ini bagian yang digunakan malware utk berkomunikasi dengan server C&C; Ada banyak pilihan listener yang tersedia diantaranya:
    • beacon DNS,
    • beacon HTTP,
    • beacon HTTPS,
    • beacon SMB,
    • beacon TCP,
    • External C2,
    • Foreign HTTP dan
    • Foreign HTTPS
  2. Web Management: CS melakukan penyebaran malware menggunakan web server yang dikendalikan oleh penyerang. Web server tersebut bisa dikonfigurasikan penyerang untuk melakukan hal berikut
    • memasang host file
    • clone website untuk menipu korban
    • memasang skrip web delivery
    • memasang signed applet attack (java)
    • memasang smart applet attck (java)
    • melakukan profiling sistem
  3. Reporting: ini fitur yang digunakan untuk melaporkan informasi tentang sistem target ke penyerang; beberapa opsi yang tersedia diantaranya:
    • laporan aktifitas
    • laporan host
    • IoC (Indicator of compromise)
    • Laporan sessions
    • laporan social engineering
    • Tactics, techniques and procedures

Menurut Cisco Talos, CS ini selain mudah digunakan, memiliki berbagai modul canggih. Misalnya:

  1. Raw shellcode generator: Modul ini untuk membuat payload malware. Dengan CS, Payload malware ini bisa digenerate jadi sebuah kode shell, kode pwershell, python, java dll.
  2. Staged/stageless executable generator: Modul ini komponen inti yang bakal dipasang di komputer target. Modul ini digunakan juga untuk membangun komunikasi dengan C2, membangun perlindungan, dll
  3. HTML application attack generator: modul untuk membuat HTA (HTML application), yaitu sebuah file extensi yang bisa dipasang pada sebuah web, namun bisa berfungsi seperti sebuah file executables
  4. Scripted web delivery: ini modul untuk memasang payload malware di sebuah url web.
  5. Signed java applet attack: modul untuk masang payload malware di komputer target melalui java applet. Modul ini cuman efektif bila korban mengijinkan java applet pada browsernya
  6. Smart java applet attack: mirip seperti no 5, cuman lebih canggih “Smart”, karena modul ini bisa memilih exploit apa yang akan dijalankan pada komputer target. Exploit ini dipilih berdasarkan versi Java yang ada di komputer target
  7. System profiler : Bila korban mengunjungi web site yang dikendalikan oleh CS, modul ini digunakan untuk melakukan scanning pada komputer korban. Tujuannya untuk mengumpulkan informasi tentang target

Tulisan dan paper Cisco Talos ini bisa dibaca pada link berikut


Silahkan tuliskan tanggapan, kritik maupun saran