Google heeft open source YARA-rules gepubliceerd voor de detectie van gelekte en gekraakte versie van Cobalt Strike. Het techbedrijf wil hiermee naar eigen zeggen misbruik van de software lastiger maken. Cobalt Strike is software ontwikkeld voor het uitvoeren van penetratietests. Via de software is het mogelijk om een besmet systeem op afstand opdrachten te geven.

Cobalt Strike is een legitiem product waarvoor gebruikers moeten betalen. Een enkele licentie kost 5900 dollar per jaar. Daarnaast ondergaan kopers eerst een screening. Er zijn echter allerlei gelekte en gekraakte versies van de software in omloop die bij daadwerkelijke aanvallen worden ingezet. Cobalt Strike wordt zo vaak bij aanvallen aangetroffen dat het Amerikaanse ministerie van Volksgezondheid hier onlangs nog een waarschuwing voor gaf.

Onderzoekers van Google ontdekten dat de gebruikte versie van Cobalt Strike een belangrijk kenmerk is om te bepalen of het om legitiem gebruik gaat of niet. De gelekte en gekraakte versies die bij aanvallen worden ingezet zijn namelijk niet de meest recente versie, maar lopen meestal één versie achter. Deze versie-informatie is te gebruiken om malafide gebruik van de tool via YARA te detecteren.

YARA is een op regels gebaseerde tool voor het detecteren van malware. De tool is ontwikkeld door Victor Alvarez van VirusTotal, de online virusscandienst van Google. Allerlei security- en antivirusbedrijven maken er gebruik van voor detectie en classificatie van malware. Google heeft nu aparte YARA-rules ontwikkeld voor de detectie van gelekte en gekraakte Cobalt Strike-versies.

Daarnaast zijn er ook signatures van deze versies gemaakt die als "community signatures" via VirusTotal worden aangeboden. Tevens zijn deze signatures beschikbaar voor partijen die ze binnen hun eigen producten willen gebruiken. Dit moet misbruik van Cobalt Strike lastiger maken, aldus Google.