Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK

Dosya Kimliği

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Boyut775.168 byte
String Sayisi3.679

Ethereum RPC C2 Kanalı

Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io  -- MEV Blocker Ethereum RPC endpoint
-- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor
-- rpc.me + vblocker.io domain fragmentleri

Anti-Debug

SetHandleInformation  -- Debugger handle tespiti/engeli
IsDebuggerPresent     -- Debugger tespiti
CreateMutexW          -- Tekillik mutex

Cobalt Strike Hakkında

Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.

IOC

SHA256ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
C2rpc.mevblocker.io (ETH RPC üzerinden)

CobaltStrike3 — Malware Profili

Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.

Malware Tipi
C2Framework
Programlama Dili
C/C++
C2 Protokolü
HTTP/DNS
Hedef Sistemler
Kurumsal

Yetenekler ve Davranış

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC Listesi (1 gösterge)

IOC — CobaltStrike3
# SHA256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
TürDeğerNot
sha256 ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
Etiketler
cobalt-strikec2-frameworkmevblocker-ioeth-rpcanti-debugset-handle