Cobalt Strike
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
| Popularity Rank: | 12,709 |
| Bedrohungsstufe: | 80 % (Hoch) |
| Infizierte Computer: | 100 |
| Zum ersten Mal gesehen: | October 29, 2021 |
| Zuletzt gesehen: | January 15, 2026 |
| Betroffene Betriebssysteme: | Windows |
Die Malware Cobalt Strike ist eine bedrohliche Software, die Finanzinstitute und andere Organisationen angreift und Computer mit Windows-, Linux- und Mac OS X-Systemen infizieren kann. Es wurde erstmals im Jahr 2012 entdeckt und es wird angenommen, dass es das Werk einer russischsprachigen Cybercrime-Gruppe ist, die als Cobalt Group bekannt ist. Die Malware soll Geld von Banken, Geldautomaten und anderen Finanzinstituten sammeln, indem sie Schwachstellen in ihren Systemen ausnutzt. Es wurde mit mehreren hochkarätigen Angriffen in Verbindung gebracht, darunter einem auf die Bank of Bangladesh im Jahr 2016, bei dem 81 Millionen US-Dollar gestohlen wurden. Der Cobalt Strike kann auch für Daten-Exfiltration, Ransomware-Angriffe und Distributed-Denial-of-Service (DDoS)-Angriffe verwendet werden.
Wie ein Computer mit der Malware Cobalt Strike infiziert wird
Die Malware Cobalt Strike wird normalerweise über beschädigte E-Mails oder Websites verbreitet. Die E-Mails können Links zu unsicheren Websites enthalten, die dann Cobalt Strike auf einen Computer herunterladen können. Darüber hinaus kann Cobalt Strike durch Drive-by-Downloads verbreitet werden, bei denen ein ahnungsloser Benutzer eine Website besucht, die mit der Bedrohung infiziert wurde. Einmal auf einem Computer installiert, kann Cobalt Strike dann verwendet werden, um Daten und Geld von Finanzinstituten zu sammeln.
Warum verwenden Hacker bei ihren Angriffen gerne den Cobalt Strike?
Hacker verwenden Cobalt Strike aus verschiedenen Gründen. Es ist ein fortschrittliches Tool, mit dem sie Zugang zu Netzwerken erhalten, Distributed Denial-of-Service (DDoS)-Angriffe starten und Daten exfiltrieren können. Es hat auch die Fähigkeit, Sicherheitsmaßnahmen wie Firewalls und Sicherheitssoftware zu umgehen. Darüber hinaus kann es verwendet werden, um schädliche Payloads zu erstellen, die in Phishing-Kampagnen oder anderen Cyberangriffen verwendet werden können. Schließlich ist Cobalt Strike relativ einfach zu bedienen und kann schnell eingesetzt werden, um einen Angriff auszuführen.
Gibt es andere Malware wie Cobalt Strike?
Ja, es gibt andere Malware-Bedrohungen, die Cobalt Strike ähneln. Einige davon sind Emotet, Trickbot und Ryuk. Emotet ist ein Banking-Trojaner, der verwendet wird, um Finanzinformationen von Opfern zu sammeln. Trickbot ist ein modularer Banking-Trojaner, der für Datenexfiltration und Ransomware-Angriffe verwendet werden kann. Ryuk ist ein Ransomware-Stamm, der mit mehreren hochkarätigen Angriffen auf Organisationen auf der ganzen Welt in Verbindung gebracht wurde. All diese Bedrohungen können erheblichen Schaden anrichten, wenn ihnen nicht angemessen begegnet wird.
Symptome einer Infektion durch den Cobalt Strike
Zu den Symptomen einer Infektion durch die Malware Cobalt Strike gehören eine langsame Computerleistung, unerwartete Popup-Fenster und seltsame Dateien oder Ordner, die auf dem Computer erscheinen. Darüber hinaus können Benutzer Schwierigkeiten haben, auf bestimmte Websites oder Anwendungen zuzugreifen und E-Mails mit verdächtigen Anhängen zu erhalten. Wenn ein Benutzer eines dieser Symptome bemerkt, sollte er sich sofort an seine IT-Abteilung oder seinen Sicherheitsanbieter wenden, um weitere Nachforschungen anzustellen.
So erkennen und entfernen Sie die Cobalt-Strike-Infektion von einem infizierten Computer
1. Führen Sie einen vollständigen Systemscan mit aktualisierter Anti-Malware-Software durch. Dadurch werden alle manipulierten Dateien, die mit der Cobalt Strike-Malware in Verbindung stehen, erkannt und entfernt.
2. Überprüfen Sie Ihr System auf verdächtige Prozesse oder Dienste, die möglicherweise im Hintergrund ausgeführt werden. Wenn Sie welche finden, beenden Sie sie sofort.
3. Löschen Sie alle verdächtigen Dateien oder Ordner, die von der Cobalt Strike-Malware auf Ihrem Computer erstellt wurden.
4. Ändern Sie alle Ihre Passwörter, insbesondere diejenigen, die sich auf Finanzkonten oder andere sensible Informationen beziehen.
5. Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Anwendungen mit den neuesten Sicherheitspatches und Updates von der Website des Herstellers auf dem neuesten Stand sind.
6. Erwägen Sie die Verwendung einer seriösen Firewall und eines Anti-Malware-Programms, um Ihren Computer vor zukünftigen Bedrohungen wie der Cobalt Strike-Malware zu schützen.
Inhaltsverzeichnis
Analysebericht
Allgemeine Information
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Dateigröße:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Dateigröße:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
