Hasil rilis publikasi F-Secure, deteksi server Cobalt Strike bisa dilakukan melalui protokol DNS. Meski tim penguji dalam penelitian ini menyebut tidak sempurna, namun metode ini bisa digunakan untuk pendeteksian server Cobalt Strike yang lebih baik.
Penelitian serupa terkait dengan Cobalt Strike juga pernah dirilis oleh tim Symantec tahun 2020 lalu. Hasilnya menemukan operator ransomware Sodinokibi saat mencoba mentarget jaringan sistem kasir digital berbasis point of sale (PoS).
Sementara pada penelitian F-Secure yang dirilis 9 April 2021, cara lain untu bisa deteksi server Cobalt Strike dapat dilakukan melalui protokol DNS.
Cobalt Strike sendiri pada dasarnya menjadi sebuah piranti atau alat pentest (pengujian penetrasi). Cobalt Strike bisa digunakan sebagai pendeteksi sistem yang diretas. Namun, penyerang juga kerap mencoba untuk eksplotasi melalui Cobalt Strike, dan justru memasukkan malware ke dalamnya.
Secara umum, tipe serangan Cobalt Strike biasanya ditandai melalui eksploitasi perangkat dari jaringan yang rentan melalui brute force server RDP (Remote Desktop Protocol). Pakar keamanan menilai sisi ini yang banyak digunakan, tremasuk pada upaya malware Sodinokibi.
Sementara pada opsi deteksi server Cobalt Strike oleh F-Secure melalui DNS, pendekatannya disebut sedikit lebih berbeda. Namun peneliti F-Secure jgua percaya akan memberikan hal yang sama seperti JARM pada HTTP / HTTPs yang terbatas dalam cakupan Cobalt Strike.
F-Secure menggunakan metode deteksi awal dengan query nama domain berbeda, termasuk A data dan TXT ke server Cobalt Strike. Selanjutnya adalah membandingkan hasil query. Jika hasilnya sama, maka server tersebut kemungkinan besarnya adalah server Cobalt Strike C2.
Proses komunikasi antara Cobalt Strike dengan DNS server ini melalui implant Cobalt Strike, “beacon”. Berdasarkan penjelasan F-Secure DNS beacon juga menggunakan konsep DNS Redirector, berfungsi untuk memperkuat infrastruktur serangan, dan sekaligus memisahkan hasil ekspos dari komponen serangan dan server C2 sebenarnya. Upaya ini memberikan fleksifibilitas tinggi selama serangan terjadi. Namun membutuhkan waktu lebih lama, hingga berjam-jam.
