攻击者越来越多地使用 Cobalt Strike

报告:渗透测试工具是低级别威胁组的最爱

蓝色实线跟踪 Proofpoint 发现的使用 Cobalt Strike 的攻击者所针对的组织数量。(来源:Proofpoint)

根据周二发布的Proofpoint报告,合法的安全渗透测试工具 Cobalt Strike 越来越多地被威胁组织使用,尤其是那些技术水平较低的组织。

另请参阅:实时面板 |给定的零信任——利用战略的价值

这家安全公司的研究人员表示,在 2019 年至 2020 年期间,使用 Cobalt Strike 的攻击数量增加了 161%,并且该工具在 2021 年仍然是一个高容量威胁。它已被用于各种攻击 - 包括SolarWinds供应链攻击 -对于网络间谍活动,Proofpoint 得出结论,它是高级持久性威胁组织最喜欢的工具。

“Cobalt Strike 被各种各样的威胁参与者使用,虽然网络犯罪分子和 APT 参与者在他们的活动中利用类似的工具并不罕见,但 Cobalt Strike 的独特之处在于其内置功能使其能够快速部署和无论演员的复杂程度或是否可以获得人力或财务资源,都可以操作,”Proofpoint 说。

为什么攻击者喜欢 Cobalt Strike

该工具对攻击者的一些有用功能是其用户友好性、混淆功能以及用作第一或第二阶段下载器的能力。Proofpoint 指出,随着 Cobalt Strike 多年来的更新,它已经从几乎只被资源丰富的犯罪集团使用——例如 FIN7、APT 集团 Leviathan 和 APT40——成为更广泛犯罪分子的主流。

原因之一是 Cobalt Strike 很容易获得。攻击者可以尝试从开发者那里合法地购买它,尽管有一个验证过程来确保该工具不会落入网络犯罪分子的手中。Proofpoint 表示,该工具还可以在暗网上广泛购买,包括最新的 Cobalt Strike 4.0 的破解版。

该软件是高度可定制的,可以在不留下任何证据的情况下删除。它可以帮助攻击者窃取数据,丢弃第二个有效载荷,并且基本上表现得好像它属于系统内部一样。

“Cobalt Strike 也是基于会话的——也就是说,如果攻击者可以访问主机并完成操作而无需建立持续的持久性,那么在主机不再在内存中运行后,主机上不会有剩余的工件。在本质:他们可以击中它并忘记它,”Proofpoint 说。

开发 Cobalt Strike 的 HelpSystems 没有立即回复对 Proofpoint 报告发表评论的请求。

使用 Cobalt Strike 作为恶意软件的团体

“威胁行为者还可以利用 Cobalt Strike 的延展性来创建自定义构建,添加或删除功能以实现目标或逃避检测,”Proofpoint 表示。“例如,APT29 经常使用定制的 Cobalt Strike Beacon 加载器来融入合法流量或逃避分析,”该安全公司表示。

另一个已知使用 Cobalt Strike 的组织是犯罪团伙 TA800,该团伙专门从事银行恶意软件攻击。TA800 最近在如何提供 Cobalt Strike 方面发生了变化。从 2019 年开始,该团伙在获得初始进入后,将注入 BazaLoader,用于下载 Cobalt Strike。2 月,该组织逆转了这一过程,通过恶意 URL 将 Cobalt Strike 作为第一阶段的有效负载分发。

Proofpoint 表示,同样在 2 月,使用银行木马的 TA547 开始分发 Cobalt Strike 作为建立命令和控制的第二阶段有效载荷。

Barium,也称为APT41和 TA415,在 2020 年的几次活动中使用了 Cobalt Strike。 Proofpoint 表示,该组织据信与中华人民共和国国家安全部有关。

Cobalt Strike 和 SolarWinds

SolarWinds 供应链攻击背后的组织,美国政府认为是俄罗斯人,微软将其命名为 Nobelium,广泛使用了Cobalt Strike。微软对 1 月份发布的攻击的分析表明,攻击者使用 Cobalt Strike 来保持持久性并保持隐藏,让他们有时间完全渗透系统、横向移动网络并在后续攻击中窃取数据。

微软表示,在启动攻击的第二阶段时,黑客“竭尽全力”确保他们最初安装在 SolarWinds 的 Orion 网络监控平台中的后门“尽可能地”与 Cobalt Strike 加载程序植入物分离他们过去常常升级攻击,为泄露数据铺平道路。

微软表示,攻击者显然认为这种方法意味着如果在受感染的系统中检测到 Cobalt Strike——一种合法的渗透测试工具,受害者将不会注意到与 SolarWinds Orion 后门的连接。

防御钴罢工

Proofpoint 威胁研究和检测高级主管 Sherrod DeGrippo 表示,组织可以采取措施发现 Cobalt Strike 的非法使用。

她说,电子邮件安全工具可以阻止 Cobalt Strike 的第一阶段交付,威胁检测工具可以识别公司网络中与其他合法流程无关的 Cobalt Strike 的通用实例。

“防御者可以查看网络通信以识别异常活动,禁止与无法识别的 IP 地址或域进行通信等。检测/防御该工具可能很困难,但是,防御者可以使用多种资源,”DeGrippo 说。

其他被滥用的合法工具

Proofpoint 的研究人员指出,恶意行为者正在使用其他合法的红队工具——包括 Mythic、Meterpreter 和 Veil 框架——来进行交易。

“攻击者正在使用尽可能多的合法工具,包括执行 PowerShell 和 WMI 等 Windows 进程、将恶意代码注入合法二进制文件中以及经常使用允许的服务(例如 Dropbox、Google Drive、SendGrid 和 Constant Contact)来托管和分发恶意软件,”Proofpoint 说。

标签: