Google fournit des règles Yara pour lutter contre l’usage malveillant de Cobalt Strike

Google a publié en open source un jeu de règles Yara qui permettent de mieux détecter les instances malveillantes de l’outil Cobalt Strike.

Cet outil est utilisé en toute légitimité, dans le cadre d’exercices de red teaming pour représenter une menace théorique. Mais ses capacités pratiques sont telles que Cobalt Strike a été largement adopté – au moins dans des versions pirates – par de nombreux attaquants, notamment afin de se déplacer latéralement dans les systèmes d’information compromis. Cobalt Strike est vendu et développé par Fortra, un éditeur qui a récemment changé de nom pour devenir HelpSystems.

Fin novembre, Google a annoncé dans un billet de blog la publication d’un jeu de règles Yara en open source afin « d’aider la communauté à signaler et à identifier les composants de Cobalt Strike et leurs versions respectives ». Les règles Yara sont largement utilisées pour classer les menaces, mais également chercher à les identifier, que ce soit parmi des échantillons ou en mémoire vive. Google a publié les siennes, pour Cobalt Strike, sous la forme d’une collection VirusTotal.

« Puisque de nombreux acteurs malveillants s’appuient sur des versions piratées de Cobalt Strike pour conduire leurs cyberattaques, nous espérons qu’en perturbant son utilisation, nous pourrons contribuer à protéger les organisations, leurs employés et leurs clients dans le monde entier », écrit Greg Sinclair, ingénieur en sécurité de Google Cloud Threat Intelligence.

Greg Sinclair a déclaré que Google avait adopté une « approche chirurgicale » lors de l’élaboration des règles YARA afin de s’assurer que les versions légitimes de l’outil ne soient pas signalées par erreur par les organisations qui utilisent ces règles. De ce fait, seules les anciennes versions des composants de Cobalt Strike sont susceptibles d’être signalées. L’ensemble de règles de Google comprend 165 signatures pour 34 versions piratées ou malveillantes de Cobalt Strike.

« Les versions de Cobalt Strike qui ont fait l’objet d’une fuite ou qui ont été piratées ne sont pas les dernières versions de Fortra, mais sont généralement en retard d’au moins une version », relève Greg Sinclair. « Nous nous sommes concentrés sur ces versions en créant des centaines de signatures uniques que nous avons intégrées dans une collection de signatures communautaires disponibles dans VirusTotal. Nous avons également publié ces signatures en open source pour les fournisseurs de cybersécurité qui souhaitent les déployer dans leurs propres produits ».

Greg Sinclair souligne que Fortra utilise son propre processus de vérification qui « tente de minimiser le potentiel » des acteurs malveillants utilisant Cobalt Strike, mais il est encore régulièrement piraté et détourné. L’objectif des règles de Google est d’aider à limiter les dommages potentiels que ces anciennes versions peuvent causer.

Cobalt Strike a été utilisé abusivement par des gangs de ransomwares et d’autres acteurs malveillants pour tout un éventail de cyberattaques. Récemment, les chercheurs de Cisco Talos ont observé une campagne de phishing utilisant une version détournée du logiciel de test d’intrusion. Cette campagne ciblait les candidats à des postes au sein du gouvernement fédéral américain.

Un porte-parole de Google a indiqué avoir collaboré avec Fortra sur ce projet. Dans une déclaration adressée à TechTarget, Fortra a salué « les efforts de partenaires de l’industrie comme Google qui nous aident à traquer les acteurs malveillants utilisant d’anciennes copies piratées de nos logiciels ».