Cobalt Strike est devenu un outil de sécurité offensive omniprésent, largement exploité par les cybercriminels et les groupes APT.

Dirk Schrader, Resident CISO EMEA et VP of Security Research chez Netwrix, aborde la question de la détection et de l'atténuation des attaques impliquant Cobalt Strike :

« Afin de se défendre contre Cobalt Strike et d'en assurer la détection, il faut avant tout savoir que les cybercriminels n’utilisent les fonctionnalités de furtivité et les techniques d’évasion offertes par cet outil qu’après la première infection. Cobalt Strike décrit lui-même son outil comme un “agent de post-exploitation”.

La meilleure défense, et la plus efficace, contre ce type d’agent consiste à rendre l’infiltration d’une infrastructure aussi difficile que possible pour l’attaquant. Il s’agit d’appliquer les mesures de cyber-hygiène habituelles, de corriger les vulnérabilités, de désactiver les comptes inutilisés, de mettre en place une stratégie de mots de passe adéquate, voire d’appliquer un modèle de type “Zero-Trust”.

Bien entendu, tout cela ne garantit pas qu’un attaquant ne réussira pas à pénétrer dans le réseau. Dans ce scénario, il est impératif de connaître les TTP (tactiques, techniques et procédures) couramment utilisées lors des tentatives de déploiement de Cobalt Strike.

L’une des tendances émergentes consiste à adopter une stratégie d’exploitation des ressources, à se servir des outils fournis avec le système d’exploitation, comme l’utilisation de Powershell ou de Command dans les environnements Windows. C’est en surveillant l’exploitation de ces derniers que vous serez en mesure de détecter le processus d’installation d’une balise Cobalt.

Parmi les autres indicateurs importants à surveiller, citons les événements système, comme l’observateur d’événements de Windows, et les événements tels que l’ID 7045, qui signale l’installation d’un nouveau service. Les balises Cobalt Strike s’exécutent souvent sous la forme d’un service, camouflé derrière des noms anodins.

La mise en place d’une procédure de surveillance spéciale permettant de détecter tout changement dans les services installés, lancés et en cours d’exécution sur une machine donnée contribuera à détecter un implant Cobalt Strike.

Pour le reste, il convient d'accorder une attention particulière aux communications Commande et Contrôle, c’est-à-dire aux informations de commande et de contrôle échangées entre un dispositif infecté et le serveur distant. Cobalt Strike propose de nombreuses fonctions destinées à déjouer la détection, notamment dans cet aspect de sa fonctionnalité.

Cependant, pour établir une communication, des paquets doivent circuler entre les terminaux. Une surveillance approfondie, combinée à des renseignements actualisés sur les serveurs Commande et Contrôle connus, se révélera également utile à cet égard.

De manière générale, la cyberdéfense consiste à compliquer et à rendre aussi difficile que possible la tâche d’un attaquant qui cherche à passer inaperçu, et ce, tout au long du processus d’attaque, et pas seulement au cours d’une seule phase. »