Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| Boyut | 775.168 byte |
| String Sayisi | 3.679 |
Ethereum RPC C2 Kanalı
Kritik Teknik: Cobalt Strike beacon'ı Ethereum RPC servisi üzerinden C2 iletişimi kuruyor!
https://rpc.mevblocker.io -- MEV Blocker Ethereum RPC endpoint -- C2 trafiği meşru Ethereum RPC trafiği gibi gizleniyor -- rpc.me + vblocker.io domain fragmentleri
Anti-Debug
SetHandleInformation -- Debugger handle tespiti/engeli IsDebuggerPresent -- Debugger tespiti CreateMutexW -- Tekillik mutex
Cobalt Strike Hakkında
Cobalt Strike, meşru bir penetrasyon testi framework'ü olmasına rağmen siber saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. "Beacon" adı verilen C2 ajanı, HTTP, HTTPS, DNS ve SMB protokolleri üzerinden iletişim kurar. Yamalanmamış sürümler (BEACON) dark web'de 2019'dan beri erişilebilir olmuştur.
IOC
| SHA256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |
|---|---|
| C2 | rpc.mevblocker.io (ETH RPC üzerinden) |
CobaltStrike3 — Malware Profile
Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.
Malware Type
C2Framework
Programming Language
C/C++
C2 Protocol
HTTP/DNS
Target Systems
Kurumsal
Capabilities & Behavior
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC List (1 indicators)
IOC — CobaltStrike3
# SHA256
ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6
| Type | Value | Note |
|---|---|---|
| sha256 | ef901fac3c9bdf1fe5b3a7c2d9f4e8b1c6a0d4f7e2b5c8a3f6d9e1b4c7f0a3e6 |