Принципи функціонування та виявлення на цільовій системі інструменту подвійного призначення Cobalt Strike

Анотація

У статті проводиться дослідження природи функціонування інструменту подвійного призначення Cobalt Strike, яке в своєму арсеналі активно використовують APT (Advanced Persistent Threat) перш за все з метою отримання несанкціонованого доступу до інформаційних систем та їх інформаційних активів. Враховуючи масштаби поширення використання Cobalt Strike доцільно розглянути принцип його роботи та можливі заходи з протидії його проникненню в інформаційні системи об'єктів критичної інформаційної інфраструктури.

Ключові слова: програмні інструменти подвійного призначення, шкідливе програмне забезпечення, Cobalt Strike, бокове переміщення.

Перелік посилань
1. User Guide “Cobalt Strike 4.5” - [Електрон. ресурс] /“Help Systems”. – Режим доступу: www.helpsystems.com;
2. “How cybercriminals try to bypass antivirus protection - [Електрон. ресурс] – Режим доступу: https://”www.kaspersky.com/resource-center/threats/combating-antivirus;
3. “What is Cobalt Strike and How Does It Work?” - [Електрон. ресурс] – Режим доступу: https://www.netsurion.com/videos/what-is-cobalt-strike;
4. “Hunting and detecting Cobalt Strike” - [Електрон. ресурс] – Режим доступу: https://log.sekoia.io/huntingand-detecting-cobalt-strike/;
5. “Defining Cobalt Strike Components So You Can BEA-CONfident in Your Analysis” - [Електрон. ресурс] – Режим доступу: https://www.mandiant.com/resources/blog/defining-cobalt-strike-components;
6. “Що таке Endpoint Detection and Response” - [Електрон. ресурс] – Режим доступу: https://ua.softlist.com.ua/articles/chto-takoe-endpoint-detection/;
7. Steve Anson“Applied Icident Response”, “Wiley”, 2021, 435 p.