Networkforensic

Threat hunting

Fox-IT vs Cobolt Strike

 03 - Marts 2019  - Blog Post # 718

Frigivet list over IP adresser der har benyttet Cobolt Strike
Cobolt Strike er et pentest tool som eks Metasploit. Dette har indeholdt en sårberhed, så man kunne se IP adresser der har benyttet Cobolt Strike og haft en C2 kørende. Fox-IT har frigivet en liste med IP-adresser. Denne indeholder kun 2 danske IP adresser. Deloitte og CSC hvor datoen ikke er ny. Om de så har benyttet dette tool eller de selv har været poppet er uvis. Hælder til det sidste for hvem ville ligge en C2 på sin egen adress range ??


IDS rules frigivet
Fox-IT har frigivet en IDS rule. Jeg har samlet denne rule og testet om den virker. Ikke valideret for falske positiver. Det er anbefalet med replay af egen trafik.

Ren IP liste kan hentes her (OBS - Datoer er fjernet. Benyt den originale liste for validering såfremt noget matcher)

 

 NF IDS Rules
5 Latest Updates   

Domain TLD Rules

Community Rules

Cobolt Strike

Trojan Vidar

WinRar

Download