A detecção baseada em assinatura — especialmente a varredura na memória — pode ser uma estratégia de detecção valiosa. Neste post do blog, saiba como detectar o Cobalt Strike independentemente da configuração ou dos recursos furtivos habilitados

No Elastic Security, abordamos o desafio da detecção de ameaças com vários métodos. Tradicionalmente, nos concentramos em modelos e comportamentos de machine learning. Esses dois métodos são poderosos porque podem detectar malware nunca antes visto. Historicamente, sentimos que as assinaturas são facilmente evitadas, mas também reconhecemos que a facilidade de evasão é apenas um dos muitos fatores a serem considerados. O desempenho e as taxas de falso positivo também são essenciais para mensurar a eficácia de uma técnica de detecção.
As assinaturas, embora incapazes de detectar malware desconhecido, têm taxas de falsos positivos próximas de zero e rótulos associados que ajudam a priorizar alertas. Por exemplo, um alerta para TrickBot ou REvil Ransomware requer ação mais imediata do que uma variante de adware potencialmente indesejada. Mesmo se pudéssemos, hipoteticamente, capturar apenas metade dos malwares conhecidos com assinaturas, isso ainda seria uma grande vitória quando usado em camadas com outras proteções, considerando os outros benefícios. Realisticamente, podemos fazer ainda melhor.
Um obstáculo para a criação de assinaturas que ofereçam um valor duradouro é o uso generalizado de compactadores e carregadores de malware descartáveis. Esses componentes evoluem rapidamente para evitar a detecção de assinaturas; no entanto, a carga útil final do malware é eventualmente descriptografada e executada na memória.
Para contornar a questão dos empacotadores e carregadores, podemos concentrar as estratégias de detecção de assinatura no conteúdo na memória. Isso efetivamente estende a vida útil da assinatura de dias para meses. Neste post, usaremos o Cobalt Strike como um exemplo para utilizar assinaturas na memória. 
 <h2>Assinatura do Cobalt Strike</h2><a href="https://www.cobaltstrike.com/">Cobalt Strike</a> é um framework popular para conduzir operações de equipe vermelha e simulação de adversário. Presumivelmente, devido à sua facilidade de uso, estabilidade e recursos furtivos, também é uma ferramenta favorita para <a href="https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html">malfeitores</a> com intenções ainda mais <a href="https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos">nefastas</a>. Existem várias técnicas para detectar o Beacon, a carga útil do endpoint do Cobalt Strike. Isso inclui a procura de <a href="/pt/blog/hunting-memory">threads sem proteção</a> e, mais recentemente, <a href="https://labs.f-secure.com/blog/detecting-cobalt-strike-default-modules-via-named-pipe-analysis/">pipes nomeados</a> integrados. No entanto, devido ao nível de <a href="https://blog.cobaltstrike.com/2019/05/02/cobalt-strike-3-14-post-ex-omakase-shimasu/">configurabilidade</a> no Beacon, geralmente há maneiras de escapar das estratégias públicas de detecção. Aqui, tentaremos usar assinaturas de memória como uma estratégia de detecção alternativa.
O Beacon é normalmente <a href="https://github.com/stephenfewer/ReflectiveDLLInjection">carregado refletivamente</a> na memória e nunca toca o disco em uma forma diretamente assinável. Além disso, o Beacon pode ser configurado com uma variedade de opções de ofuscação na memória para ocultar sua carga útil. Por exemplo, a opção <a href="https://blog.cobaltstrike.com/2018/09/06/cobalt-strike-3-12-blink-and-youll-miss-it/">obfuscate-and-sleep</a> tenta mascarar partes da carga útil do Beacon entre os retornos de chamada para evitar especificamente as varreduras de memória baseadas em assinatura. Teremos de considerar essa opção ao desenvolver assinaturas, mas ainda é fácil assinar o Beacon, mesmo com esses recursos furtivos avançados.
 <h2>Observação em detalhes</h2>Começaremos obtendo algumas cargas úteis do Beacon com a opção <a href="https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/reference.profile#L254-L255">sleep_mask</a> habilitada e desabilitada com as versões mais recentes (hashes na seção de referência). Começando com uma amostra com sleep_mask desabilitado, após a detonação, podemos localizar o Beacon na memória com o Process Hacker, procurando um thread que chame o SleepEx de uma região sem proteção:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt7b127a57723668a4/603e6e90982f2a0bdaf5a89b/1-process-hacker-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt7b127a57723668a4" alt="" style="display: block; margin: auto;">
A partir daí, podemos salvar a região da memória associada no disco para análise:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt8fd59d9d51f487e3/603e6e9ef9638443346d3da1/2-memory-region-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt8fd59d9d51f487e3" alt="" style="display: block; margin: auto;">
A vitória mais fácil seria escolher algumas strings exclusivas dessa região e usá-las como a nossa assinatura. Para demonstrar, escreveremos assinaturas com o <a href="https://virustotal.github.io/yara/">yara</a>, uma ferramenta padrão de mercado para esse propósito:
<pre class="prettyprint">rule cobaltstrike_beacon_strings
{
meta:
 author = "Elastic"
 description = "Identifies strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d"
 $b = "Started service %s on %s"
 $c = "%s as %s\\%s: %d"
condition:
 2 of them
}
</pre>Isso nos daria uma boa base de cobertura, mas podemos fazer melhor observando as amostras com sleep_mask habilitado. Se olharmos na memória onde o cabeçalho MZ/PE normalmente seria encontrado, agora vemos que ele está ofuscado:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt68be7567c87b8f15/603e6eb71322a9094ddecf50/3-obfuscated-header-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt68be7567c87b8f15" alt="" style="display: block; margin: auto;">
Olhando rapidamente, podemos ver muitos bytes repetidos (0x80 neste caso) onde, na verdade, esperaríamos bytes nulos. Isso pode ser uma indicação de que o Beacon está usando uma ofuscação XOR simples de um byte. Para confirmar, podemos usar o <a href="https://gchq.github.io/CyberChef/">CyberChef</a>:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt51fc44c10e0289c9/603e6ec708636f3d7749a259/4-cyberchef-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt51fc44c10e0289c9" alt="" style="display: block; margin: auto;">
Como você pode ver, a string “This program cannot be run in DOS mode” (Este programa não pode ser executado no modo DOS) aparece após a decodificação, confirmando a nossa teoria. Como o XOR de um único byte é um dos truques mais manjados, o yara oferece suporte para detecção nativa com o modificador <a href="https://yara.readthedocs.io/en/stable/writingrules.html">xor</a>:
<pre class="prettyprint">rule cobaltstrike_beacon_xor_strings
{
meta:
 author = "Elastic"
 description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
 $b = "Started service %s on %s" xor(0x01-0xff)
 $c = "%s as %s\\%s: %d" xor(0x01-0xff)
condition:
 2 of them
}
</pre>Podemos confirmar a detecção das nossas regras do yara até agora fornecendo um PID durante a varredura:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blte78d10de1484f20e/603e6ed5f9638443346d3da5/5-confirming-detection-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blte78d10de1484f20e" alt="" style="display: block; margin: auto;">
No entanto, ainda não terminamos. Após o teste dessa assinatura em uma amostra com a versão mais recente do Beacon (4.2 no momento em que este post foi escrito), a rotina de ofuscação foi aprimorada. A rotina pode ser localizada seguindo a stack de chamadas conforme mostrado anteriormente. Agora ela usa uma chave XOR de 13 bytes, conforme mostrado no seguinte snippet do IDA Pro:
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6ca50e04e513814b/603e6efbacf0d53d70c5accc/6-ida-pro-snippet-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt6ca50e04e513814b" alt="" style="display: block; margin: auto;"> 
Felizmente, a opção obfuscate-and-sleep do Beacon apenas ofusca strings e dados, deixando toda a seção de código pronta para assinatura. Há a questão sobre para qual função na seção de código devemos desenvolver uma assinatura, mas é relevante o suficiente para escrevermos um post do blog só sobre isso. Por enquanto, podemos apenas criar uma assinatura na rotina de desofuscação, que deve funcionar bem:
<pre class="prettyprint">rule cobaltstrike_beacon_4_2_decrypt
{
meta:
 author = "Elastic"
 description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2."
strings:
 $a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
 $a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
condition:
 any of them
}
</pre>Podemos validar que podemos detectar o Beacon mesmo quando ele está em seu estado de hibernação furtivo (variantes de 32 e 64 bits):
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt70a33ec8ee2d14c1/603e6eef7d801145b7fb6fd5/7-detection-beacon-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt70a33ec8ee2d14c1" alt="" style="display: block; margin: auto;">
Para integrar isso em uma detecção mais robusta, podemos verificar regularmente todos os processos do sistema (ou da empresa inteira). Isso pode ser feito com o seguinte one-liner do PowerShell:
<pre class="prettyprint">powershell -command "Get-Process | ForEach-Object {c:\yara64.exe my_rules.yar $_.ID}"
</pre> <h2>Resumo</h2>A detecção baseada em assinatura, embora muitas vezes desprezada, é uma estratégia de detecção valiosa, especialmente quando consideramos a varredura na memória. Com apenas um punhado de assinaturas, podemos detectar o Cobalt Strike independentemente da configuração ou dos recursos furtivos habilitados com uma taxa efetiva de falsos positivos igual a zero.
<h3>Hashes de referência</h3><pre class="prettyprint">7d2c09a06d731a56bca7af2f5d3badef53624f025d77ababe6a14be28540a17a
277c2a0a18d7dc04993b6dc7ce873a086ab267391a9acbbc4a140e9c4658372a
A0788b85266fedd64dab834cb605a31b81fd11a3439dc3a6370bb34e512220e2
2db56e74f43b1a826beff9b577933135791ee44d8e66fa111b9b2af32948235c
3d65d80b1eb8626cf327c046db0c20ba4ed1b588b8c2f1286bc09b8f4da204f2
</pre><h2>Saiba mais sobre o Elastic Security</h2>Conheça os poderosos recursos de proteção, detecção e resposta do Elastic Agent. Comece a sua <a href="https://cloud.elastic.co/registration?elektra=en-security-page">avaliação gratuita de 14 dias</a> (não é necessário cartão de crédito) ou <a href="/pt/downloads/">baixe os nossos produtos</a> gratuitamente para a sua implantação no local. E aproveite o nosso <a href="/pt/training/elastic-security-quick-start">treinamento Quick Start</a> para se preparar para o sucesso.

blog-banner-security-radar-anomaly-monitor.png

blog-thumb-security-radar-anomaly-monitor.png

Detecting Cobalt Strike with memory signatures

Detecção do Cobalt Strike com assinaturas de memória

Start free trial

Blog Footer CTA

Sign up for Elastic Cloud free trial

Joe Desimone

By submitting you acknowledge that you've read and agree to our <a href="/legal/elastic-cloud-account-terms" target="_self">Terms of Service</a>, and you agree to receive the <a href="/legal/privacy-statement#how-we-use-the-information" target="_self">selected communications</a> at the contact details you provided above. See <a href="/legal/privacy-statement/" target="_self">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Communication Preferences - ONLY for /communication-preferences

Ao enviar a confirmação, você reconhece que leu e concorda com nossos <a href="/pt/legal/elastic-cloud-account-terms" target="_self">Termos de Serviço</a> e também concorda em receber <a href="/pt/legal/privacy-statement#how-we-use-the-information" target="_self">comunicações especiais</a> por meio dos dados de contato que forneceu acima. Consulte a <a href="/pt/legal/privacy-statement/" target="_self">Declaração de Privacidade da Elastic</a> para saber mais detalhes ou para cancelar a qualquer momento.

By submitting you acknowledge that you've read and agree to our <a href="/legal/serverless-preview-terms" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Serverless GDPR Text

Ao enviar a confirmação, você reconhece que leu e concorda com nossos <a href="/pt/legal/serverless-preview-terms" target="_self">Termos de Serviço</a> e que a Elastic pode <a href="/pt/legal/privacy-statement#how-we-use-the-information" target="_self">entrar em contato com você</a> para divulgar nossos produtos e serviços relacionados usando os dados que você forneceu acima. Consulte a <a href="/pt/legal/privacy-statement/" target="_self">Declaração de Privacidade da Elastic</a> para saber mais detalhes ou para cancelar a qualquer momento.

By submitting you agree to <a href="/agreements/global/cloud-services-monthly" rel="nofollow">Elastic Cloud Terms of Service</a>. Your personal data will be processed in accordance with <a href="/legal/privacy-statement">Elastic's Privacy Statement</a>.

Cloud Trial GDPR Text

Ao enviar, você concorda com os <a href="/pt/agreements/global/cloud-services-monthly" rel="nofollow">Termos de Serviço do Elastic Cloud</a>. Seus dados pessoais serão tratados de acordo com a <a href="/pt/legal/privacy-statement">Declaração de Privacidade da Elastic</a>.

By submitting you acknowledge that you've read and agree to our <a href="/legal/terms-of-use" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Newsletter GDPR Text

Ao enviar a confirmação, você reconhece que leu e concorda com nossos <a href="/pt/legal/terms-of-use" target="_self">Termos de Serviço</a> e que a Elastic pode <a href="/pt/legal/privacy-statement#how-we-use-the-information" target="_self">entrar em contato com você</a> para divulgar nossos produtos e serviços relacionados usando os dados que você forneceu acima. Consulte a <a href="/pt/legal/privacy-statement/" target="_self">Declaração de Privacidade da Elastic</a> para saber mais detalhes ou para cancelar a qualquer momento.

Explore similar demos

Explore outras demonstrações semelhantes

Overview

Load More

Speakers

Close

See more insights

The content on this page is not available in the selected language. As Elastic grows globally, we continue to support content in multiple languages.

The content on this page is not available in the selected language.

O conteúdo desta página não está disponível no idioma selecionado. A Elastic está trabalhando para garantir que o conteúdo esteja disponível em vários idiomas.Agradecemos a compreensão.

Author

Articles by

Learn more

Watch now (no PT)

Watch now

See all top stories

All (no PT translation)

Contact information

Press Release

Share on Reddit

Share this story

Share by Email

Thank you for your interest!

Contact Info

Follow us on Youtube

Share on LinkedIn

Follow us on LinkedIn

Search Integrations

All Solutions

Video for

Follow us on Twitter

See when this webinar starts in my time zone

Consultar a hora de início do webinar no meu fuso horário

Register to Watch

Register now

See All Posts

Can't make it? Register and we'll send you the recording. You'll also receive an email with related content

Não vai conseguir participar? Inscreva-se e nós lhe enviaremos a gravação. Você também receberá um email com conteúdo relacionado.

Author

Articles by Joe Desimone

Detecção do Cobalt Strike com assinaturas de memória

Sign up for Elastic Cloud free trial