由于具有可塑性和可訪問(wèn)性的特點(diǎn)�����,Cobalt Strike被作為紅隊(duì)常用的工具�����,現(xiàn)已被網(wǎng)絡(luò)犯罪分子嚴(yán)重濫用�。Cobalt Strike功能豐富��,支持多種攻擊方法���,因此也一直是眾多國(guó)家級(jí)APT組織的首選�。對(duì)于過(guò)去一年半內(nèi)勒索軟件泛濫的現(xiàn)象����,Cobalt Strike無(wú)疑是起到了推波助瀾的作用。
相較于自行開(kāi)發(fā)內(nèi)部技術(shù)�����,通過(guò)地下論壇購(gòu)買(mǎi)現(xiàn)成的惡意軟件和相關(guān)工具顯然成本更低��,而且還會(huì)給執(zhí)法機(jī)構(gòu)造成歸因困難����,因此Cobalt Strike是企業(yè)和網(wǎng)絡(luò)犯罪分子的理想選擇。當(dāng)網(wǎng)絡(luò)黑客組織是受雇于國(guó)家行為體時(shí)�����,這種歸因困難的挑戰(zhàn)會(huì)更加復(fù)雜��。
“對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說(shuō),Cobalt Strike近乎是完美的軟件��,但同時(shí)也凸顯了網(wǎng)絡(luò)安全行業(yè)面臨的進(jìn)退兩難的核心困境����,即精心開(kāi)發(fā)的工具既可以提升網(wǎng)絡(luò)安全,也會(huì)被用以助長(zhǎng)網(wǎng)絡(luò)犯罪��?�!盉lackBerry研究與情報(bào)事業(yè)部副總裁埃里克·米拉姆(Eric Milam)表示����,“Cobalt Strike功能豐富,開(kāi)發(fā)人員還為其提供了完善支持與積極維護(hù)���。但Cobalt Strike的有效載荷也為網(wǎng)絡(luò)攻擊者提供了許多可乘之機(jī)�����,進(jìn)而成為了APT組織和網(wǎng)絡(luò)犯罪新手青睞的選擇�?�!?/p>
除了Cobalt Strike被大量應(yīng)用于地下犯罪活動(dòng)的原因值得深思��,高水平的APT組織對(duì)這一工具的持續(xù)使用同樣值得關(guān)注�����。2021年10月���,APT41就使用Cobalt Strike給目標(biāo)
