基于签名的检测 — 尤其是内存中扫描 — 是一种极其重要的检测策略。在这篇博文中，了解如何在有效误报率为零的情况下检测 Cobalt Strike，而不管它的配置或隐蔽功能如何。

在 Elastic 安全中，我们会借助多种方法来应对威胁检测方面的挑战。在传统上，我们专注于研究 Machine Learning 模型和行为。这两种方法非常强大，因为它们可以检测到前所未见的恶意软件。从历史数据看，我们认为签名太容易被规避，但我们也认识到，规避的难易只是需要考虑的众多因素之一。性能和误报率也是衡量检测技术有效性的关键。
签名虽然无法检测到未知的恶意软件，但其误报率接近于零，并且有相关联的标签，这对确定告警优先级会有所帮助。例如，与不受欢迎的潜在广告软件变体相比，针对 TrickBot 或 REvil 勒索软件的告警更需要立即采取行动。即使我们假设通过签名只能捕获一半的已知恶意软件，但考虑到其他方面的益处，再配以其他保护措施，这仍然是一个巨大的胜利。实际上，我们还可以做得更好。
在创建具有长期价值的签名方面，一大障碍就是加壳程序和一次性恶意软件加载程序的广泛使用。这些组件会迅速进化以规避签名检测；但是，最终的恶意软件有效负载终究会在内存中解密并执行。
为了解决加壳程序和加载程序的问题，我们可以将签名检测策略集中在内存中的内容上。这会有效地将签名的有效期限从几天延长到几个月。在这篇博文中，我们将以 Cobalt Strike 为例，介绍如何利用内存中签名。 
 <h2>生成 Cobalt Strike 签名</h2><a href="https://www.cobaltstrike.com/">Cobalt Strike</a> 是一种流行的框架，用于进行红队操作和对手模拟。大概是由于它的易用性、稳定性和隐蔽功能，它也成为了有着更多<a href="https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos">不轨</a>意图的<a href="https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html">不法者</a>最爱的工具。现在有多种技术可以检测 Cobalt Strike 的终端有效负载 Beacon。这包括查找<a href="/cn/blog/hunting-memory">无支持线程</a>，以及最近的内置<a href="https://labs.f-secure.com/blog/detecting-cobalt-strike-default-modules-via-named-pipe-analysis/">命名管道</a>。然而，由于 Beacon 具有很高的<a href="https://blog.cobaltstrike.com/2019/05/02/cobalt-strike-3-14-post-ex-omakase-shimasu/">可配置性</a>，因此通常有一些方法可以避开公共检测策略。下面，我们将尝试使用内存签名作为替代检测策略。
Beacon 通常是<a href="https://github.com/stephenfewer/ReflectiveDLLInjection">反射加载</a>到内存中，并且从不以可直接签名的形式接触磁盘。此外，Beacon 可以配置各种内存中混淆选项以隐藏其有效负载。例如，<a href="https://blog.cobaltstrike.com/2018/09/06/cobalt-strike-3-12-blink-and-youll-miss-it/">obfuscate-and-sleep</a> 选项会试图在回调之间屏蔽部分 Beacon 有效负载，以专门避开基于签名的内存扫描。我们在开发签名时需要考虑这个选项，但即使有这些先进的隐蔽功能，对 Beacon 进行签名仍然很容易。
 <h2>进一步了解</h2>我们将首先获取一些 Beacon 有效负载，并在最新版本中启用和禁用 <a href="https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/reference.profile#L254-L255">sleep_mask</a> 选项（参考部分中的哈希）。从禁用 sleep_mask 的示例开始，在引爆后，我们可以通过 Process Hacker 查找从无支持区域调用 SleepEx 的线程来定位内存中的 Beacon：
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt7b127a57723668a4/603e6e90982f2a0bdaf5a89b/1-process-hacker-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt7b127a57723668a4" alt="" style="display: block; margin: auto;">
然后，我们可以将关联的内存区域保存到磁盘以供分析：
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt8fd59d9d51f487e3/603e6e9ef9638443346d3da1/2-memory-region-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt8fd59d9d51f487e3" alt="" style="display: block; margin: auto;">
最简单的做法是，从这个区域挑选一些独特的字符串并将它们用作我们的签名。出于演示目的，我们将使用 <a href="https://virustotal.github.io/yara/">yara</a> 编写签名，这是用于此目的的行业标准工具：
<pre class="prettyprint">rule cobaltstrike_beacon_strings
{
meta:
 author = "Elastic"
 description = "Identifies strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d"
 $b = "Started service %s on %s"
 $c = "%s as %s\\%s: %d"
condition:
 2 of them
}
</pre>这将为我们提供良好的保障基础，但我们可以通过参照启用了 sleep_mask 的示例来做得更好。如果我们看一下内存中通常可以找到 MZ/PE 标头的位置，现在会看到它被模糊化了：
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt68be7567c87b8f15/603e6eb71322a9094ddecf50/3-obfuscated-header-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt68be7567c87b8f15" alt="" style="display: block; margin: auto;">
快速看一下这张图，我们可以看到许多重复的字节（在本例中为 0x80），而我们实际期望看到的是空字节。这可能表明 Beacon 正在使用简单的单字节 XOR 混淆。我们可以使用 <a href="https://gchq.github.io/CyberChef/">CyberChef</a> 来进一步确认一下：
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt51fc44c10e0289c9/603e6ec708636f3d7749a259/4-cyberchef-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt51fc44c10e0289c9" alt="" style="display: block; margin: auto;">
大家可以看到，解码后出现“This program cannot be run in DOS mode”（此程序无法在 DOS 模式下运行）字符串，证实了我们的猜测。因为单字节 XOR 是最老套的技巧之一，yara 实际上支持使用 <a href="https://yara.readthedocs.io/en/stable/writingrules.html">xor</a> 修饰符进行原生检测：
<pre class="prettyprint">rule cobaltstrike_beacon_xor_strings
{
meta:
 author = "Elastic"
 description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
 $b = "Started service %s on %s" xor(0x01-0xff)
 $c = "%s as %s\\%s: %d" xor(0x01-0xff)
condition:
 2 of them
}
</pre>到目前为止，我们可以通过在扫描时提供 PID 来确认基于我们 yara 规则的检测：
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blte78d10de1484f20e/603e6ed5f9638443346d3da5/5-confirming-detection-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blte78d10de1484f20e" alt="" style="display: block; margin: auto;">
然而，这还没有结束。在使用最新版 Beacon（撰写本文时为 4.2）的示例上测试这个签名后，混淆例程已得到改进。这一例程可以按照前面所示的调用堆栈来找到。它现在使用 13 字节的 XOR 密钥，如以下 IDA Pro 代码段所示：
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6ca50e04e513814b/603e6efbacf0d53d70c5accc/6-ida-pro-snippet-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt6ca50e04e513814b" alt="" style="display: block; margin: auto;"> 
幸运的是，Beacon 的 obfuscate-and-sleep 选项只会混淆字符串和数据，让整个代码部分都可以进行签名。不过，我们应该为代码部分中的哪个函数开发签名确实也是个问题，但这需要另写一篇博文详述。现在，我们可以只在反混淆例程上创建一个签名，它就应该可以运作得很好：
<pre class="prettyprint">rule cobaltstrike_beacon_4_2_decrypt
{
meta:
 author = "Elastic"
 description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2."
strings:
 $a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
 $a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
condition:
 any of them
}
</pre>我们可以验证，即使 Beacon 处于隐蔽休眠状态（32 位和 64 位变体），我们也可以检测到它：
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt70a33ec8ee2d14c1/603e6eef7d801145b7fb6fd5/7-detection-beacon-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt70a33ec8ee2d14c1" alt="" style="display: block; margin: auto;">
为了将其构建为更强大的检测体系，我们可以定期扫描系统上（或整个企业中）的所有进程。这可以通过以下 powershell 单行指令来完成：
<pre class="prettyprint">powershell -command "Get-Process | ForEach-Object {c:\yara64.exe my_rules.yar $_.ID}"
</pre> <h2>总结</h2>基于签名的检测虽然经常被人们所忽视，但却是一种极其重要的检测策略 — 尤其是在我们考虑内存中扫描时。只需少量签名，我们就可以在有效误报率为零的情况下检测 Cobalt Strike，而不管它的配置或隐蔽功能如何。
<h3>参考哈希</h3><pre class="prettyprint">7d2c09a06d731a56bca7af2f5d3badef53624f025d77ababe6a14be28540a17a
277c2a0a18d7dc04993b6dc7ce873a086ab267391a9acbbc4a140e9c4658372a
A0788b85266fedd64dab834cb605a31b81fd11a3439dc3a6370bb34e512220e2
2db56e74f43b1a826beff9b577933135791ee44d8e66fa111b9b2af32948235c
3d65d80b1eb8626cf327c046db0c20ba4ed1b588b8c2f1286bc09b8f4da204f2
</pre><h2>深入了解 Elastic 安全</h2>欢迎了解 Elastic 代理强大的保护、检测和响应功能（如果还不了解的话）。开始 <a href="https://cloud.elastic.co/registration?elektra=en-security-page">14 天免费试用</a>（无需信用卡），或免费<a href="/cn/downloads/">下载我们的产品</a>，用于您的本地部署。充分利用我们<a href="/cn/training/elastic-security-quick-start">快速入门培训</a>，为您的成功保驾护航。

blog-banner-security-radar-anomaly-monitor.png

blog-thumb-security-radar-anomaly-monitor.png

Detecting Cobalt Strike with memory signatures

使用内存签名检测 Cobalt Strike

Start free trial

Blog Footer CTA

Sign up for Elastic Cloud free trial

Joe Desimone

By submitting you acknowledge that you've read and agree to our <a href="/legal/elastic-cloud-account-terms" target="_self">Terms of Service</a>, and you agree to receive the <a href="/legal/privacy-statement#how-we-use-the-information" target="_self">selected communications</a> at the contact details you provided above. See <a href="/legal/privacy-statement/" target="_self">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Communication Preferences - ONLY for /communication-preferences

提交即表示您确认您已阅读并同意我们的<a href="/cn/legal/elastic-cloud-account-terms" target="_self">服务条款</a>，并且您同意通过您提供的上述联系方式接收<a href="/cn/legal/privacy-statement#how-we-use-the-information" target="_self">所选的通信</a>。如需了解更多信息，或想随时取消订阅，请参阅 <a href="/cn/legal/privacy-statement/" target="_self">Elastic 的隐私声明</a>。

By submitting you acknowledge that you've read and agree to our <a href="/legal/serverless-preview-terms" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Serverless GDPR Text

提交即表示您确认您已阅读并同意我们的<a href="/cn/legal/serverless-preview-terms" target="_self">服务条款</a>，并且 Elastic 可以使用您提供的上述详细信息与您联系，以向您介绍我们相关的<a href="/cn/legal/privacy-statement#how-we-use-the-information" target="_self">产品和服务</a>。如需了解更多信息，或想随时取消订阅，请参阅 <a href="/cn/legal/privacy-statement/" target="_self">Elastic 的隐私声明</a>。

By submitting you agree to <a href="/agreements/global/cloud-services-monthly" rel="nofollow">Elastic Cloud Terms of Service</a>. Your personal data will be processed in accordance with <a href="/legal/privacy-statement">Elastic's Privacy Statement</a>.

Cloud Trial GDPR Text

提交即表示您同意 <a href="/cn/agreements/global/cloud-services-monthly" rel="nofollow">Elastic Cloud 服务条款</a>。我们将会按照 <a href="/cn/legal/privacy-statement">Elastic 的隐私声明</a>处理您的个人数据。

By submitting you acknowledge that you've read and agree to our <a href="/legal/terms-of-use" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Newsletter GDPR Text

提交即表示您确认您已阅读并同意我们的<a href="/cn/legal/terms-of-use" target="_self">服务条款</a>，并且 Elastic 可以使用您提供的上述详细信息与您联系，以向您介绍我们相关的<a href="/cn/legal/privacy-statement#how-we-use-the-information" target="_self">产品和服务</a>。如需了解更多信息，或想随时取消订阅，请参阅 <a href="/cn/legal/privacy-statement/" target="_self">Elastic 的隐私声明</a>。

Explore similar demos

Overview

Speakers

Close

See more insights

The content on this page is not available in the selected language. As Elastic grows globally, we continue to support content in multiple languages.

The content on this page is not available in the selected language.

本页内容尚不支持所选语言。Elastic 正在不断努力，以实现对多种语言内容的支持。感谢您在此期间给予的耐心与陪伴！

Author

Articles by

Learn more

Watch now (no PT)

Watch now

See all top stories

All (no PT translation)

Contact information

Press Release

Share on Reddit

Share this story

Share by Email

Thank you for your interest!

Contact Info

Follow us on Youtube

Load More

Share on LinkedIn

Follow us on LinkedIn

Search Integrations

All Solutions

Video for

Follow us on Twitter

See when this webinar starts in my time zone

查看本次网络研讨会在我的时区的开始时间

Register to Watch

Register now

See All Posts

Can't make it? Register and we'll send you the recording. You'll also receive an email with related content

无法实时参加？注册后我们会给您发送录像。您还将收到相关内容的电子邮件。

Author

Articles by Joe Desimone

使用内存签名检测 Cobalt Strike

Sign up for Elastic Cloud free trial