新しいマルウェアはどんどん生まれてきます。
そして、新しくそれらに対抗するためのツールも生まれてきます。
BeaconEyeは防御者側が利用できるツールです。
BeaconEyeは、実行中のプロセスをスキャンして、アクティブなCobaltStrikeビーコンを探します。
プロセスがビーコンを実行していることが判明すると、BeaconEyeは各プロセスのC2アクティビティを監視します。
こんな風に使えます。
- ライブプロセスまたはMiniDumpファイルをスキャンして、疑わしいCobaltStrikeビーコンを探す
- ライブプロセスモードでは、BeaconEyeはオプションでそれ自体をデバッガーとして接続し、C2トラフィックのビーコンアクティビティの監視を開始する
- C2データと可鍛性プロファイルの暗号化に使用されるAESキーはオンザフライでデコードする
これにより、BeaconEyeは、コマンドがオペレーターを介して送信されたときにビーコンの出力を抽出および復号化できます。 - アクティビティのログは、対象のプロセスごとに作成する
このツールにより、調査環境にCobaltStrike Beaconがある場合には、その活動を観測することができるようになります。
現在はまだ、HTTP / HTTPS beaconのみが対象である、コマンド出力のみがデコードされ、コマンド要求はデコードされない、などの制約がありますが、ツールが成熟していく中でより高機能になっていくことかと思います。
脅威そのもののの情報も、脅威に対抗するための情報も、情報を知っているということそのものが力となるのかもしれません。
まさしく、知は力なり、でしょうか。
あ、これは、beaconでなくFrancis Baconでした。
御後が宜しいようで。
参考記事(外部リンク):CCob / BeaconEye
github.com/CCob/BeaconEye
| この記事をシェア |
|
|---|
