Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/21 19:26]
Delimar Danko teamserver 		racfor_wiki:seminari2024:forenzicka_analiza_cobalt_strike_alata [2025/01/26 15:13] (trenutno)
Delimar Danko [Forenzička analiza Cobalt Strike alata]
Redak 1: Redak 1:
  
 ===== Forenzička analiza Cobalt Strike alata ===== ===== Forenzička analiza Cobalt Strike alata =====
 +Video - [[https://ferhr-my.sharepoint.com/:v:/g/personal/dd54160_fer_hr/EbuzcGfbzJ5NhQrE7C4SedYBRKa7Tez1Y5WRdPkNmdzsUg?e=uiUPAI&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Sharepoint]]
 ===== Sažetak ===== ===== Sažetak =====
 Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji. Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji.
Redak 61: Redak 61:
  
 ===== Ostali Cobalt artefakti ===== ===== Ostali Cobalt artefakti =====
 +== Powershell ==
 +Powershell je ugrađen u brojne obrasce izvršavanja unutar Cobalt Strikea i često postoje argumenti u tom izvršavanju koji su vrlo rijetko korišteni u normalnim uvjetima. Primjer takvih argumenata su: //nop, hidden, encodedcommand, nologo// i //noprofile//. Također, ne postoji razuman razlog zašto bi primjerice //word.exe// pokretao powershell pa ako postoji trag da neki nerazumni proces pokreću powershell to je dobar znak za dodatnu istragu.[6]
  
 +== Detekcija rundll32.exe procesa ==
 +Ako nije promijenjeno, a po nekim podacima u čak 90% //beacona// nije[6], //beacon// koristi rundll32.exe za izvršavanje poslije eksploitacijskih aktivnosti. Takve aktivnosti su migriranje u druge procese i izvršavanje poslije eksploitacijskih alata kao što je Rubeus. Ako se detektira da neki proces pokreće rundll32.exe to je jedan od mogućih razloga za dodatnu istragu pomoću ostalih metoda navedenih prije.
  
-===== Zaključak ===== 
  
 +===== Zaključak =====
 +Cobalt Strike je alat koji je moguće promijeniti do razine da je neprepoznatiljiv tradicionalnih forenzičkim metodama. Na sreću, ili na žalost ovisno o perspektivi, takve modifikacije zahtjevaju značajan trud s napadačke strane i većina napadače nema znanje niti vremena za takve modifikacije. Zato su metode poput YARA potpisa ili analize mrežnog prometa i dalje jako efektivne. Ako se sumnja da je neki proces ili računalo zaraženo Cobalt Strikeom, uvježbani analitičar ga može pronaći pomoću memorijskih artefakata koje ostavlja i tipičnih uzoraka korištenja kao što je pokretanje rundll32.exe procesa za izvršavnje poslije eksploitacijskih aktivnosti.
  
  
Redak 77: Redak 82:
  
 [5] [[https://unit42.paloaltonetworks.com/cobalt-strike-team-server/]] [5] [[https://unit42.paloaltonetworks.com/cobalt-strike-team-server/]]
 +
 +[6] [[https://socfortress.medium.com/detecting-cobalt-strike-beacons-3f8c9fdcb654]]
  
racfor_wiki/seminari2024/forenzicka_analiza_cobalt_strike_alata.1737487569.txt.gz · Zadnja izmjena: 2025/01/21 19:26 od Delimar Danko
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0