Cobalt Strike

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Cobalt Strike

Basisdaten

Hauptentwickler Strategic Cyber LLC
Entwickler Raphael Mudge
Erscheinungsjahr 2012
Aktuelle Version 4.9
(19. September 2023)
Betriebssystem Verschiedene
Kategorie Pentest-Werkzeug
Lizenz 5.900 US-Dollar pro Benutzer und Jahr
deutschsprachig nein
cobaltstrike.com

Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Es wird aber auch häufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet.[1] Zum Funktionsumfang gehören die Angriffs-Aufklärung, das Eindringen, das Errichten eines stabilen Zugangs mit einer soliden Operationsbasis im Netz des Opfers sowie der anschließende Diebstahl von Daten.

Cobalt Strike kann Sicherheitslücken aufspüren, indem ein Red Team, eine unabhängige Gruppe Programmierer, als Gegner auftritt, der keine oder nur geringe Informationen über das System und seine Struktur besitzt. Eine Sammlung von Angriffstools ist verfügbar,[2] zu den Nachbearbeitungswerkzeugen gehört ein Reportgenerator.

Seit Oktober 2015 teilt Cobalt Strike seinen Code nicht mehr mit dem grafischen Cyber-Attack-Management-Tool Armitage und hängt auch nicht mehr vom Metasploit Framework ab. Dennoch ist es mit diesen beiden Tools eng verknüpft.

Cobalt Strike kann Taktiken und Techniken eines fortgeschrittenen Gegners in einem Netzwerk nachbilden. Im Gegensatz zu anderen Penetrationstests, die vorrangig auf nicht behobene Schwachstellen und Fehlkonfigurationen abzielen, richtet sich Cobalt Strike auf sicherheitsrelevante Operationen. Cobalt Strike wirkt mithilfe von Nachbearbeitungsagenten und verdeckten Kanälen wie ein unauffälliger, langfristig eingebetteter Akteur im Netzwerk. Die Funktion Malleable C2[3] kann die Netzwerk-Indikatoren ändern, um jedes Mal wie ein anderes Schadprogramm auszusehen.[4]

Ergänzend kann Armitage benutzt werden, um Nutzdaten von Cobalt-Strike an Metasploit zu schicken und gefundene Schwachstellen ausnutzen. Umgekehrt können Metasploit-Angriffe durch einen Tunnel virtuell übertragen werden.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Cobalt Strike: Favorite Tool from APT to Crimeware. Abgerufen am 12. Juli 2021.
  2. Adversary Simulation and Red Team Operations Software – Cobalt Strike. Abgerufen am 2. April 2017.
  3. Malleable Command and Control Language – Cobalt Strike. Abgerufen am 2. April 2017.
  4. Press – Cobalt Strike. Abgerufen am 2. April 2017.