Signaturbasierte Erkennung kann, speziell beim In-Memory-Scanning, eine wertvolle Strategie sein. Hier zeigen wir Ihnen, wie Sie Cobalt Strike erkennen können – unabhängig von Konfiguration oder Tarnfunktionen und mit einer Falsch-Positiv-Rate von 0.

Wir bei Elastic Security gehen die Bedrohungserkennung auf unterschiedliche Weise an. Traditionell haben wir uns dabei auf Machine-Learning-Modelle und verhaltensbasierte Erkennung konzentriert. Diese beiden Methoden sind wirkungsvoll, weil sie auch bisher unbekannte Malware erkennen können. In der Vergangenheit hatten wir das Gefühl, dass Signaturen zu leicht umgangen werden können, uns ist aber auch bewusst, dass die Frage der einfachen Umgehbarkeit nur einer von vielen Faktoren ist, die es zu berücksichtigen gilt. Weitere wichtige Kriterien für das Ermitteln der Effektivität von Erkennungstechniken sind die Performance und die Falsch-Positiv-Rate.
Signaturen können zwar keine unbekannte Malware entdecken, sie haben aber Falsch-Positiv-Raten, die in Richtung Null tendieren, und verfügen über zugehörige Labels, die beim Priorisieren von Alerts helfen. Ein Alert für Ransomware wie TrickBot oder REvil erfordert schnelleres Handeln als eine potenziell unerwünschte Adware-Variante. Selbst wenn wir hypothetisch nur die Hälfte der bekannten Malware mit Signaturen abfangen könnten, wäre dies angesichts der anderen Vorteile schon ein großer Gewinn und wir könnten diese Methode mit anderen Schutzmethoden kombinieren. Realistisch betrachtet kann uns das sogar noch besser gelingen.
Ein Hindernis bei der Erstellung von Signaturen, die einen langfristigen Wert bieten, ist der weit verbreitete Einsatz von Packern und Wegwerf-Ladern für Malware. Diese Komponenten entwickeln sich schnell weiter, um die Signaturerkennung zu umgehen, während die eigentliche Malware entschlüsselt und im Arbeitsspeicher ausgeführt wird.
Um das Problem von Packern und Ladern zu umgehen, können wir unsere Signaturerkennungsstrategien auf die Inhalte im Arbeitsspeicher konzentrieren. Dadurch verlängert sich die „Haltbarkeit“ der Signatur von Tagen auf Monate. In diesem Blogpost verwenden wir Cobalt Strike als Beispiel für die Nutzung von In-Memory-Signaturen. 
 <h2>Erstellen von Cobalt Strike-Signaturen</h2><a href="https://www.cobaltstrike.com/">Cobalt Strike</a> ist ein beliebtes Framework für die Durchführung von Red-Team-Operationen und die Angriffssimulation. Wegen seiner Benutzerfreundlichkeit, Stabilität und Tarnfunktionen wird es auch von <a href="https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html">Angreifern</a> geschätzt, die wirklich <a href="https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos">Böses im Schilde führen</a>. Für das Erkennen von Beacon, der Endpoint-Nutzlast von Cobalt Strike, gibt es verschiedene Techniken. Eine davon ist die Suche nach <a href="/de/blog/hunting-memory">Threads ohne eine zugehörige Datei auf dem Datenträger</a> und, seit Neuerem, nach integrierten <a href="https://labs.f-secure.com/blog/detecting-cobalt-strike-default-modules-via-named-pipe-analysis/">Named Pipes</a>. Aufgrund der hohen <a href="https://blog.cobaltstrike.com/2019/05/02/cobalt-strike-3-14-post-ex-omakase-shimasu/">Konfigurierbarkeit</a> in Beacon gibt es aber in der Regel Möglichkeiten, öffentliche Erkennungsstrategien zu umgehen. Hier werden wir versuchen, als alternative Erkennungsstrategie Speichersignaturen zu verwenden.
Beacon wird typischerweise <a href="https://github.com/stephenfewer/ReflectiveDLLInjection">reflektiv in den Speicher geladen</a> und kommt nie in direkter signierbarer Form auf den Datenträger. Außerdem kann Beacon mit einer Vielzahl von Optionen zur In-Memory-Verschleierung konfiguriert werden, um seine Nutzlast zu verbergen. So versucht z. B. die Option <a href="https://blog.cobaltstrike.com/2018/09/06/cobalt-strike-3-12-blink-and-youll-miss-it/">Verschleiern und Schlafen („Obfuscate and sleep“)</a>, Teile der Beacon-Nutzlast zwischen Callbacks zu maskieren, um signaturbasierten Speicherscans auszuweichen. Zwar müssen wir diese Option beim Entwickeln von Signaturen berücksichtigen, dennoch ist es trotz dieser fortgeschrittenen Tarnfunktionen einfach, Beacon zu signieren.
 <h2>Los gehts</h2>Wir beginnen, indem wir bei aktivierter und deaktivierter Option <a href="https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/reference.profile#L254-L255">sleep_mask</a> in den neuesten Versionen (Hashes im Referenz-Abschnitt) eine Handvoll Beacon-Nutzlasten abrufen. Lassen wir zunächst sleep_mask deaktiviert: Nach dem Start können wir mithilfe von Process Hacker Beacon im Arbeitsspeicher ausfindig machen, indem wir nach einem Thread suchen, der SleepEx aus einem Bereich ohne zugehörige Datei aufruft:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt7b127a57723668a4/603e6e90982f2a0bdaf5a89b/1-process-hacker-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt7b127a57723668a4" alt="" style="display: block; margin: auto;">
Von dort können wir den zugehörigen Arbeitsspeicherbereich lokal speichern, um ihn zu analysieren:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt8fd59d9d51f487e3/603e6e9ef9638443346d3da1/2-memory-region-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt8fd59d9d51f487e3" alt="" style="display: block; margin: auto;">
Am einfachsten wäre es, wenn wir einige eindeutige Zeichenfolgen aus diesem Bereich auswählten und sie als unsere Signatur verwendeten. Zu Demonstrationszwecken schreiben wir Signaturen mit dem für diesen Zweck häufig verwendeten Tool <a href="https://virustotal.github.io/yara/">yara</a>:
<pre class="prettyprint">rule cobaltstrike_beacon_strings
{
meta:
 author = "Elastic"
 description = "Identifies strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d"
 $b = "Started service %s on %s"
 $c = "%s as %s\\%s: %d"
condition:
 2 of them
}
</pre>Damit könnten wir schon eine recht gute Abdeckung erzielen, aber wenn wir auch noch die Proben mit aktivierter Option sleep_mask einbeziehen, geht noch mehr. Wenn wir im Arbeitsspeicher an der Stelle suchen, an der sich der MZ/PE-Header normalerweise befinden würde, sehen wir, dass er verschleiert ist:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt68be7567c87b8f15/603e6eb71322a9094ddecf50/3-obfuscated-header-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt68be7567c87b8f15" alt="" style="display: block; margin: auto;">
Ein schneller Blick darauf verrät uns, dass es viele wiederholte Bytes (in diesem Fall 0x80) gibt, wo wir eigentlich Null-Bytes erwarten würden. Dies kann ein Hinweis darauf sein, dass Beacon eine einfache 1-Byte-XOR-Verschleierung verwendet. Zur Bestätigung können wir <a href="https://gchq.github.io/CyberChef/">CyberChef</a> verwenden:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt51fc44c10e0289c9/603e6ec708636f3d7749a259/4-cyberchef-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt51fc44c10e0289c9" alt="" style="display: block; margin: auto;">
Wie wir sehen, erscheint nach dem Decodieren die Meldung „This program cannot be run in DOS mode“, was unsere Theorie bestätigt. Da die Verwendung eines 1-Byte-XOR-Operators eher aus der Trick-Mottenkiste stammt, unterstützt yara die native Erkennung mit dem <a href="https://yara.readthedocs.io/en/stable/writingrules.html">xor</a>-Modifikator:
<pre class="prettyprint">rule cobaltstrike_beacon_xor_strings
{
meta:
 author = "Elastic"
 description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
 $b = "Started service %s on %s" xor(0x01-0xff)
 $c = "%s as %s\\%s: %d" xor(0x01-0xff)
condition:
 2 of them
}
</pre>Wir können die bisherige Erkennung für unsere yara-Regeln bestätigen, indem wir beim Scannen eine PID bereitstellen:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blte78d10de1484f20e/603e6ed5f9638443346d3da5/5-confirming-detection-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blte78d10de1484f20e" alt="" style="display: block; margin: auto;">
Das war aber noch nicht alles. Nach dem Testen dieser Signatur an einer Probe mit der neuesten Version von Beacon (zum Zeitpunkt des Verfassen dieses Blogs ist dies 4.2) hat sich die Verschleierungsroutine verbessert. Die Routine können wir finden, indem wir dem Aufruf-Stack wie oben beschrieben folgen. Sie verwendet jetzt einen 13-Byte-XOR-Schlüssel, wie im folgenden IDA Pro-Snippet zu sehen:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6ca50e04e513814b/603e6efbacf0d53d70c5accc/6-ida-pro-snippet-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt6ca50e04e513814b" alt="" style="display: block; margin: auto;"> 
Glücklicherweise verschleiert die Option „Verschleiern und Schlafen“ von Beacon nur Zeichenfolgen und Daten, sodass der gesamte Code-Abschnitt für die Signaturerstellung zur Verfügung steht. Da stellt sich die Frage, für welche Funktion im Codeabschnitt wir eine Signatur entwickeln sollten; das wäre aber Thema für einen eigenen Blogpost. Wir begnügen uns fürs Erste damit, eine Signatur für die Verschleierungsroutine zu erstellen, die gut funktionieren müsste:
<pre class="prettyprint">rule cobaltstrike_beacon_4_2_decrypt
{
meta:
 author = "Elastic"
 description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2."
strings:
 $a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
 $a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
condition:
 any of them
}
</pre>Wir können uns vergewissern, dass wir Beacon erkennen können, selbst wenn es sich in seinem Tarnschlafstatus befindet (sowohl in der 32- als auch in der 64‑Bit-Variante):
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt70a33ec8ee2d14c1/603e6eef7d801145b7fb6fd5/7-detection-beacon-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt70a33ec8ee2d14c1" alt="" style="display: block; margin: auto;">
Um daraus eine robustere Erkennung zu stricken, könnten wir regelmäßig alle Prozesse auf dem System (oder im gesamten Unternehmen) scannen. Möglich wäre dies mit dem folgenden PowerShell-Einzeiler:
<pre class="prettyprint">powershell -command "Get-Process | ForEach-Object {c:\yara64.exe my_rules.yar $_.ID}"
</pre> <h2>Fazit</h2>Die signaturbasierte Erkennung, auf die oft von oben herabgesehen wird, ist eine wertvolle Erkennungsstrategie, insbesondere wenn es um das In-Memory-Scanning geht. Mit nur einer Handvoll Signaturen können wir Cobalt Strike mit einer effektiven Falsch-Positiv-Rate von 0 erkennen – unabhängig von der Konfiguration oder davon, welche Tarnfunktionen aktiviert sind.
<h3>Referenz-Hashes</h3><pre class="prettyprint">7d2c09a06d731a56bca7af2f5d3badef53624f025d77ababe6a14be28540a17a
277c2a0a18d7dc04993b6dc7ce873a086ab267391a9acbbc4a140e9c4658372a
A0788b85266fedd64dab834cb605a31b81fd11a3439dc3a6370bb34e512220e2
2db56e74f43b1a826beff9b577933135791ee44d8e66fa111b9b2af32948235c
3d65d80b1eb8626cf327c046db0c20ba4ed1b588b8c2f1286bc09b8f4da204f2
</pre><h2>Weitere Informationen zu Elastic Security</h2>Wenn noch nicht geschehen, informieren Sie sich über die leistungsstarken Schutz-, Erkennungs- und Reaktionsmöglichkeiten von Elastic Agent. <a href="https://cloud.elastic.co/registration?elektra=en-security-page">Probieren Sie Elastic Cloud 14 Tage lang kostenlos aus</a> (keine Kreditkarte erforderlich) oder <a href="/de/downloads/">laden Sie unsere Produkte kostenlos herunter</a>, wenn Sie Ihr Deployment selbst verwalten möchten. Hilfreiche Tipps für einen erfolgreichen Start finden Sie in unserer <a href="/de/training/elastic-security-quick-start">Quick-Start-Schulung</a>.

blog-banner-security-radar-anomaly-monitor.png

blog-thumb-security-radar-anomaly-monitor.png

Detecting Cobalt Strike with memory signatures

Erkennen von Cobalt Strike mit Speichersignaturen

Start free trial

Blog Footer CTA

Sign up for Elastic Cloud free trial

Joe Desimone

By submitting you acknowledge that you've read and agree to our <a href="/legal/elastic-cloud-account-terms" target="_self">Terms of Service</a>, and you agree to receive the <a href="/legal/privacy-statement#how-we-use-the-information" target="_self">selected communications</a> at the contact details you provided above. See <a href="/legal/privacy-statement/" target="_self">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Communication Preferences - ONLY for /communication-preferences

Durch das Absenden erklären Sie, dass Sie unsere <a href="/de/legal/elastic-cloud-account-terms" target="_self">Nutzungsbedingungen</a> gelesen haben und mit ihnen einverstanden sind und dass Sie Elastic erlauben, <a href="/de/legal/privacy-statement#how-we-use-the-information" target="_self">ausgewählte Nachrichten und Informationen</a> an die oben von Ihnen bereitgestellten Kontaktangaben zu senden. Weitere Informationen, darunter auch dazu, wie Sie Ihre Einwilligung zurückziehen können, finden Sie in der <a href="/de/legal/privacy-statement/" target="_self">Datenschutzerklärung von Elastic</a>.

By submitting you acknowledge that you've read and agree to our <a href="/legal/serverless-preview-terms" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Serverless GDPR Text

Durch das Absenden erklären Sie, dass Sie unsere <a href="/de/legal/serverless-preview-terms" target="_self">Nutzungsbedingungen</a> gelesen haben und mit ihnen einverstanden sind und dass Sie Elastic erlauben, bezüglich unserer zugehörigen Produkte und Dienstleistungen und unter Nutzung der von Ihnen oben bereitgestellten Kontaktangaben <a href="/de/legal/privacy-statement#how-we-use-the-information" target="_self">mit Ihnen in Kontakt zu treten</a>. Weitere Informationen, darunter auch dazu, wie Sie Ihre Einwilligung zurückziehen können, finden Sie in der <a href="/de/legal/privacy-statement/" target="_self">Datenschutzerklärung von Elastic</a>.

By submitting you agree to <a href="/agreements/global/cloud-services-monthly" rel="nofollow">Elastic Cloud Terms of Service</a>. Your personal data will be processed in accordance with <a href="/legal/privacy-statement">Elastic's Privacy Statement</a>.

Cloud Trial GDPR Text

Beim Absenden akzeptieren Sie die <a href="/de/agreements/global/cloud-services-monthly" rel="nofollow">Nutzungsbedingungen von Elastic Cloud</a>. Die Verarbeitung Ihrer personenbezogenen Daten unterliegt der <a href="/de/legal/privacy-statement">Datenschutzerklärung von Elastic</a>.

By submitting you acknowledge that you've read and agree to our <a href="/legal/terms-of-use" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Newsletter GDPR Text

Durch das Absenden erklären Sie, dass Sie unsere <a href="/de/legal/terms-of-use" target="_self">Nutzungsbedingungen</a> gelesen haben und mit ihnen einverstanden sind und dass Sie Elastic erlauben, bezüglich unserer zugehörigen Produkte und Dienstleistungen und unter Nutzung der von Ihnen oben bereitgestellten Kontaktangaben <a href="/de/legal/privacy-statement#how-we-use-the-information" target="_self">mit Ihnen in Kontakt zu treten</a>. Weitere Informationen, darunter auch dazu, wie Sie Ihre Einwilligung zurückziehen können, finden Sie in der <a href="/de/legal/privacy-statement/" target="_self">Datenschutzerklärung von Elastic</a>.

Explore similar demos

Overview

Speakers

Close

See more insights

The content on this page is not available in the selected language. As Elastic grows globally, we continue to support content in multiple languages.

The content on this page is not available in the selected language.

Der Inhalt dieser Seite ist in der ausgewählten Sprache nicht verfügbar. Wir bei Elastic arbeiten daran, die bereitgestellten Inhalte in verschiedenen Sprachen anzubieten. Bis dahin bitten wir Sie um etwas Geduld und hoffen auf Ihr Verständnis!

Author

Watch now (no PT)

Watch now

See all top stories

All (no PT translation)

Contact information

Press Release

Share on Reddit

Articles by

Share this story

Share by Email

Thank you for your interest!

Contact Info

Follow us on Youtube

Load More

Share on LinkedIn

Follow us on LinkedIn

Search Integrations

All Solutions

Video for

Follow us on Twitter

See when this webinar starts in my time zone

Register to Watch

Register now

See All Posts

Can't make it? Register and we'll send you the recording. You'll also receive an email with related content

Sie können nicht dabei sein? Registrieren Sie sich, damit wir Ihnen die Aufzeichnung zukommen lassen können. Außerdem erhalten Sie eine E‑Mail mit Begleitmaterial.

Small image for

On-demand webinar

Featured webinar

Register to Attend

Share on Facebook

Reset all

Upcoming webinar

View more posts

Print

Hosted by

Sign In to Attend

View next

Follow us on Facebook

Share

Highlights

Learn More

Read less

You'll also receive an email with related content

Wir schicken Ihnen zudem relevante Informationen, die von Interesse sein könnten.

Thank you for registering. We will send you a confirmation email soon.

Vielen Dank für Ihre Registrierung. Sie erhalten in Kürze eine Bestätigungs-E‑Mail von uns.

Author

Articles by Joe Desimone

Erkennen von Cobalt Strike mit Speichersignaturen

Sign up for Elastic Cloud free trial