Google Cloud Threat Intelligence 团队近日宣布开源 YARA 规则和 VirusTotal Collection of indicators of compromise (IOCs) ，帮助企业抵御 Cobalt Strike 攻击。

Google Cloud Threat Intelligence 安全工程师格雷格辛克莱尔（Greg Sinclair）表示：

我们正在向社区发布一套开源的 YARA 规则，并将其整合到 VirusTotal 集合中，帮助社区标记和识别 Cobalt Strike 的组件及其各自的版本。由于有些版本已经被威胁行为者滥用，因此检测 Cobalt Strike 的确切版本，是确定非恶意行为者使用合法性的一个重要组成部分。

IT之家了解到，Cobalt Strike 的破解版和泄露版在大多数情况下至少落后一个版本，这使得谷歌能够收集数百个被黑客使用的框架、模板和信标样本，以建立具有高度准确性的基于 YARA 的检测规则。

辛克莱尔补充道：

我们的目标是进行高保真检测，以便能够准确地确定特定 Cobalt Strike 组件的版本。只要有可能，我们会建立签名来检测 Cobalt Strike 组件的特定版本。

IT之家了解到，Cobalt Strike（由 Fortra 公司开发，曾叫做 Help Systems）是一个合法的渗透测试工具，自 2012 年以来一直处于开发状态。它被设计为红色团队的攻击框架，用于扫描其组织的基础设施，以寻找漏洞和安全漏洞。这导致 Cobalt Strike 成为网络攻击中最常用的工具之一，可能导致数据被盗和勒索软件。