大家好,我是紫队安全研究。近期我将连载美国APT针对全球的历史安全事件,希望能帮助到大家。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击"紫队安全研究"进入公众号首页,然后点击右上角的【...】,然后点击【设为星标】即可。
在当前的网络空间中,军备扩散指的是具备武器级水平的攻击平台、恶意代码、漏洞利用程序以及其他助力攻击的工具或组件的传播。主要包括美国情报机构如NSA、CIA等开发的攻击工具和支持系统,以及部分商用工具,如美国的Cobalt Strike等商业攻击平台。然而,近年来,由于美国对自动化渗透测试平台的监管不力,导致相关攻击平台全球泛滥,已成为黑客组织的标配工具,被广泛用于实施内网渗透和恶意网络攻击。
问题概述
Cobalt Strike是一款渗透测试工具,于2012年6月首次发布,其作者拉菲尔·穆奇(Raphael Mudge)曾是美国空军的安全研究员。Cobalt Strike的商业版本集成了服务扫描、自动化溢出、多模式端口监听、多种木马生成方式(包括DLL木马、内存木马、Office宏病毒和Beacon通信木马等)、钓鱼攻击、站点克隆、目标信息获取、浏览器自动攻击等功能,同时还能够调用其他知名工具如Mimikatz。作为一款渗透测试利器,Cobalt Strike具备强大的功能和可扩展性,几乎覆盖了攻击链的各个阶段。近年来,Cobalt Strike因其易用性和可扩展性被黑客和APT组织利用实施真实的网络攻击,攻击者利用Cobalt Strike托管C&C服务器,并通过它在受感染主机上部署恶意软件。根据美国科技安全公司Proofpoint在2020年的调查数据显示,在滥用Cobalt Strike实施的恶意攻击中有15%与已知的黑客组织有关。
各方反应
2015年5月27日,安天发现一例针对中国政府机构的准APT攻击事件中,攻击者利用自动化攻击测试平台Cobalt Strike生成的Shellcode,实现了对目标主机的远程控制。安天在2015年的中国互联网安全大会上做了题为“网络安全中的商业军火”的公开报告,对21世纪初以来的商业化网络武器进行了系统梳理,分析了其与相关国家军事网络能力的渊源。美国科技安全公司Proofpoint在2020年的调查结果显示,威胁行为体对Cobalt Strike渗透测试工具的运用较2019年增加了161%。根据Proofpoint的数据,自2019年至2021年,滥用Cobalt Strike的攻击中有15%与已知的黑客组织有关。
美国网络安全公司Sentinelone的分析显示,Egregor勒索软件的主要分发方式是Cobalt Strike,攻击者通过各种手段破坏目标环境,并利用Cobalt Strike来交付和启动Egregor有效载荷。奇安信监测发现,威胁组织“Blue Mockingbird”利用Telerik UI漏洞攻陷服务器,安装Cobalt Strike信标并劫持系统资源挖掘门罗币。
小结
技术的发展使得能力可以迅速传播,计算机技术的进步使得攻击行为和攻击能力变得高度自动化,而商业攻击平台的高度自动化使得这种能力扩散的速度远远超出了我们的预期。当前,美国作为拥有顶级网络科技能力的超级大国,未能有效控制这种武器级攻击手段的扩散,这需要更多的责任担当。美国应该更加积极地约束和管控诸如Cobalt Strike这样的自动化攻击平台,而不是放任其商业化销售,因为这不仅给网络空间埋下了安全隐患,也对其他国家的安全造成了无法预估的潜在影响。单向威慑的本质就是“讹诈”,一个和平稳定的世界不应该建立在简单的“赢者通吃”模式之上。作为超级大国,美国应该从有效释放安全保证和对自身进行能力约束的角度来获得自信,而不仅仅是依靠强大的防御能力。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):美国APT军备的扩散——商业化攻击平台的滥用成为全球黑客的常规武器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论