La pagina mostra la presenza di file (con nome .cobaltstrike.beacon_keys) contenenti chiavi pubbliche e private.

Queste chiavi sono generate quando per la prima volta viene avviata l'istanza di Cobalt Strike.

La comunicazione tra il client (beacon) e il server C2 di Cobalt Stike, avviene in modalità criptata AES.

La chiave AES è generata dal client beacon, e comunicata al server C2 usando un dato di tipo metadata.

La criptazione RSA è invece usata per criptare questo dato con la modalità metadata. Il processo client beacon ha la chiave pubblica del server C2,

e quest'ultimo ha la chiave privata.

Durante la ricerca di impronte Cobalt Strike generate da server dedicati, i ricercatori possono rilevare la presenza di chiavi pubbliche.

Questo comportamento degli attaccanti (chi usa Cobalt Strike per fini illeciti) implica che essi usano le stesse chiavi private,

in più file .cobaltstrike.beacon_keys in modalità condivisa.

Una possibile spiegazione a tale comportamento, potrebbe essere che gli attaccanti usano le versioni non registrate di Cobalt Strike,

le quali includono file di chiave .cobaltstrike.beacon_keys precompilati. Questi file di chiave non sono parte della distribuzione registrata del pacchetto

del produttore Cobal Strike, e sono molto probabilmente generati appositamente dagli attaccanti.

L'articolo mostra le fasi di cattura e ricerca dei file di chiave. Seguendo questi suggerimenti, potrebbe essere possibile decriptare il traffico criptato,

tra client beacon e server C2.

__

__