Kobalt
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
Rangfolge: | 4,110 |
Bedrohungsstufe: | 20 % (Normal) |
Infizierte Computer: | 2,252 |
Zum ersten Mal gesehen: | May 5, 2022 |
Zuletzt gesehen: | September 20, 2023 |
Betroffene Betriebssysteme: | Windows |
Cobalt ist eine Malware-Infektion, die sich verbreitet, indem sie eine seit 17 Jahren bestehende Schwachstelle in Microsoft Windows in diesem Betriebssystem ausnutzt. Obwohl die von Cobalt genutzte Schwachstelle CVE-2017-11882 seit 17 Jahren besteht, wurde sie erst im November 2017 von Microsoft veröffentlicht und gepatcht. Mithilfe dieser Schwachstelle konnten die Cyberkriminellen Bedrohungen durch den Einsatz des Cobalt Strike, ein Tool zum Testen von Schwachstellen.
Inhaltsverzeichnis
Ein Kobalt-Geheimnis, das viele Jahre gehütet wird
Cobalt wird über eine Spam-E-Mail zugestellt, die wie eine Benachrichtigung von Visa (dem Kreditkartenunternehmen) aussieht und angeblich Regeländerungen in seinem PayWave-Dienst in Russland ankündigt. Opfer erhalten ein RTF-Dokument mit dem Namen „еменения в системе безопасности.doc Visa payWave.doc“ sowie eine Archivdatei mit demselben Namen. Das Versenden von Bedrohungen in Form von Archivdateien, die an E-Mail-Nachrichten angehängt sind, ist eine sehr gängige Methode, sie zuzustellen. Die Verwendung von passwortgeschützten Archiven für diese Angriffe ist ein sicherer Weg, um zu verhindern, dass Autoanalysesysteme die Datei analysieren, da sie die Datei in einer sicheren Umgebung extrahieren, um Bedrohungen zu erkennen. Es gibt jedoch einen gewissen Social-Engineering-Aspekt, indem sowohl die beschädigte DOC-Datei als auch das Archiv in dieselbe Nachricht aufgenommen werden.
Wenn das schädliche Dokument geöffnet wird, das für die Bereitstellung von Cobalt verwendet wird, wird im Hintergrund ein PowerShell-Skript ausgeführt. Dieses Skript lädt Cobalt herunter und installiert es auf dem Computer des Opfers, sodass die Cyberkriminellen die Kontrolle über den infizierten Computer übernehmen können. Während des Cobalt-Angriffs werden mehrere Skripte heruntergeladen und ausgeführt, um Cobalt schließlich herunterzuladen und auf dem Computer des Opfers zu installieren. Wenn der Exploit CVE-2017-11882 auf dem infizierten Computer ausgelöst wird, wird eine verschleierte JavaScript-Datei heruntergeladen und dann auf dem infizierten Computer ausgeführt. Dadurch wird ein weiteres PowerShell-Skript heruntergeladen, das Cobalt dann direkt in den Arbeitsspeicher des infizierten Computers lädt. Obwohl PowerShell-Skripte eine leistungsstarke Möglichkeit sein können, die Verwendung eines Computers bequemer und effizienter zu machen, haben die Art und Weise, wie sie mit dem Innenleben eines Computers interagiert und ihre Leistungsfähigkeit gemacht, diese Skripte zu einem der bevorzugten Tools für Bedrohungsangriffe gemacht. Da Cobalt direkt in den Speicher geladen wird und keine beschädigte DLL-Datei auf die Festplatten des Opfers geschrieben wird, erschwert dies Antivirenprogrammen die Erkennung des Cobalt-Angriffs.
Wie sich der Kobaltangriff auf Sie und Ihre Maschine auswirken kann
Sobald Cobalt auf dem Computer des Opfers installiert ist, kann Cobalt verwendet werden, um den infizierten Computer zu kontrollieren und diese Bedrohung auf anderen Computersystemen im selben Netzwerk zu installieren. Obwohl Cobalt Strike offiziell angeblich ein Tool für Penetrationstests ist, wird es in diesem Fall zur Durchführung von Bedrohungsangriffen verwendet. Die Cyberkriminellen suchen immer nach neuen Wegen, um Bedrohungen zu verbreiten. Während neue Sicherheitslücken ziemlich bedrohlich sind, stellen sehr alte Sicherheitslücken wie diese, die ursprünglich möglicherweise nicht richtig behoben wurden, auch eine Bedrohung für Computerbenutzer dar. Denken Sie daran, dass viele Computerbenutzer ihre Software und ihr Betriebssystem nicht regelmäßig patchen, was bedeutet, dass viele PCs anfällig für viele Exploits sind, die ziemlich alt sind und in einigen Fällen von vielen Antivirenprogrammen übersehen werden.
Schutz Ihres Computers vor einer Bedrohung wie Kobalt
Wie bei den meisten Bedrohungen ist die Verwendung eines vertrauenswürdigen Sicherheitsprogramms der beste Schutz gegen Cobalt und ähnliche Bedrohungen. Da es sich bei diesen Angriffen jedoch um einen alten Software-Exploit handelt, raten PC-Sicherheitsforscher Computerbenutzern, sicherzustellen, dass ihre Software und ihr Betriebssystem vollständig mit den neuesten Sicherheitspatches aktualisiert werden. Dies kann Computerbenutzern dabei helfen, Bedrohungen und andere Probleme ebenso wie die Verwendung von Sicherheitssoftware zu verhindern.
URLs
Kobalt kann die folgenden URLs aufrufen:
betaengine.org |