-
Cobalt Strike 在威胁攻击者的恶意活动中的使用次数正在增加。
-
从 2019 年到 2020 年,使用Cobalt Strike 的威胁攻击者增加了 161%,并且在 2021 年仍持续上升。
-
除了APT组织和间谍攻击者,目前Cobalt Strike 也被很多网络犯罪和恶意软件运营者使用。
2021 年,Cobalt Strike 更频繁地出现在 Proofpoint 威胁数据中。Cobalt Strike 是渗透测试人员用来模拟网络中威胁攻击者活动的合法安全工具。然而,它也越来越多地被威胁攻击者使用——Proofpoint 发现,从 2019 年到 2020 年,使用该工具的威胁攻击者增加了 161%。这与其他安全公司的观察结果一致,因为越来越多的威胁攻击者在其活动中采用黑客工具。
当映射到 MITRE ATT&CK 框架时,Proofpoint公司的分析人员更关注,此工具在攻击链的初始访问、命令执行和持久驻留等阶段所起的作用。也就是说:威胁攻击者如何试图破坏主机以及他们首先部署哪些有效载荷?根据Proofpoint的数据评估,攻击者中越来越喜欢将Cobalt Strike作为初始访问有效载荷,而不仅仅是现访问后,作为第二阶段的远控工具使用。
2020 年 12 月,全世界都知道了一场广泛而有效的间谍活动,该活动成功地为流行的网络监控软件 SolarWinds 设置了后门程序。据调查人员透露,攻击者使用的工具包括 Cobalt Strike Beacon。这项备受瞩目的活动是智能攻击链的一部分,使高级威胁攻击者能够暗中破坏相对较少数量的受害者。根据他们的需求进行定制的工具已有近十年的历史,但近年来越来越受欢迎。
Cobalt Strike 于 2012 年首次亮相,以应对现有红队工具 Metasploit 框架中的漏洞。2015 年,Cobalt Strike 3.0 作为独立的对手仿真平台推出。到 2016 年,Proofpoint 研究人员攻击者中越来越喜欢将Cobalt Strike作为初始访问有效载荷,而不仅仅是现访问后,作为第二阶段的远控工具使用。
从历史上看,Cobalt Strike 在恶意操作中的使用很大程度上与资源丰富的威胁攻击者有关,包括大型网络犯罪团伙如 TA3546(也称为 FIN7)。Proofpoint 研究人员已将 2016 年至 2018 年已确定的 Cobalt Strike 活动的三分之二归因于资源充足的网络犯罪组织或 APT 组织。在接下来的几年里,这一比例急剧下降——从 2019 年到现在,只有 15% 的 Cobalt Strike 活动可归因于已知的威胁攻击者。
图 1:随着时间的推移观察到的与 Cobalt Strike 负载相关的钓鱼邮件数量( 注:2021 年包括截至 2021 年 5 月的数据)
威胁行为者可以通过多种方式获得 Cobalt Strike:直接从供应商的网站购买;通过各种黑客论坛在暗网上购买;或使用该软件的破解、非法版本。2020 年 3 月,Cobalt Strike 4.0 的破解版被发布并可供威胁攻击者使用。
Cobalt Strike 被各种威胁攻击者使用,虽然网络犯罪分子和 APT 组织在其活动中利用类似的工具并不罕见,但 Cobalt Strike 的独特之处在于其内置功能使其能够快速部署和操作,无论攻击者的复杂程度或获得人力或财务资源的机会如何。当双方使用相同的工具时,模拟攻击者攻击和穿透防御的工作可能会变得更加简单。
Cobalt Strike 也是基于会话的——也就是说,如果威胁攻击者可以访问主机并在不需建立持久性的情况下完成操作,当计算机关机后,后门不会在受害者计算机留存,增加了攻击发现、溯源取证的难度。
威胁攻击者还可以利用 Cobalt Strike 的延展性来创建自定义构建,添加或删除功能以实现目标或逃避检测。例如,APT29 经常使用定制的 Cobalt Strike Beacon 加载器来融入合法流量或逃避分析。
对于防御者来说,定制的 Cobalt Strike 模块通常需要独特的签名,因此威胁检测工程师可能需要检测 Cobalt Strike在野外的使用 。Cobalt Strike 也因其固有的模糊性而吸引了威胁行为者。如果所有人都使用相同的工具,归因会变得更加困难。如果一个组织有一个积极使用它的红队,则恶意流量可能会被误认为是合法的。该软件的易用性可以提高不太复杂的攻击者的能力。对于经验丰富的攻击者来说,既然已经有了一个很棒的工具,为什么还要把开发周期花在新东西上呢?
Proofpoint 数据显示 Cobalt Strike 是一种流行的工具,适用于从战略威胁到广泛的活动。下面将介绍一些,使用此工具的攻击组织 。
TA800
TA800是一个大型网络犯罪团伙,自2019年年中开始被Proofpoint跟踪。这个攻击者试图交付和安装银行恶意软件或恶意软件加载程序,包括The Trick和BazaLoader。2020年4月,TA800成为第一个被观察到分发BazaLoader的组织。在这些早期的活动中,威胁者分发带有指向可执行文件的恶意链接的电子邮件,或者带有指向可执行文件链接的谷歌Docs上的登陆页面。可执行文件下载了BazaLoader后门程序,然后该后门程序又下载了Cobalt Strike。2021年2月,该组织转向通过恶意url将Cobalt Strike作为第一阶段有效载荷分发。有一些证据表明 TA800 的 NimzaLoader 被用于下载和执行 Cobalt Strike 作为其辅助负载。
TA547
TA547 是 Proofpoint 自 2017 年 10 月以来追踪的威胁攻击者。该组织似乎主要向不同地理区域分发银行木马(包括 The Trick 和 ZLoader)。自 2020 年年中以来,该攻击者倾向于使用恶意的 Microsoft Office 附件来分发恶意软件。2021 年 2 月,TA547 开始分发 Cobalt Strike 作为第二阶段有效载荷,用于命令和控制。
Proofpoint已经观察到数十名使用Cobalt Strike的威胁者。然而,和它们的合法对手一样,威胁攻击者展示了许多恶意攻击者模拟软件的攻击路径和用例。威胁行动者使用不同的诱饵主题、威胁类型、投放器和有效载荷。例如,最早的Cobalt Strike活动使用恶意文档附件分发电子邮件威胁,以传播恶意软件,但直接在电子邮件正文中分发恶意url的活动已经取代附件,成为使用频率更高的威胁类型。
尽管直接作为初始有效载荷发送的Cobalt Strike的实例显著增加,但作为第二阶段有效载荷的部署仍然很受欢迎。Cobalt Strike被观察到与恶意软件如The Trick、BazaLoader、Ursnif、IcedID以及许多更流行的加载程序一起出现在各种攻击链中。在这些情况下,上述恶意软件通常会加载并执行Cobalt Strike。同样,在直接交付Cobalt Strike的情况下,也有很多技术被利用,比如通过武器化的Office文档、压缩可执行文件、PowerShell、动态数据交换(DDE)、HTA/HTML文件和流量分配系统中的恶意宏。
在执行 Cobalt Strike 并为 C2 通信建立 Beacon 后,观察到攻击者尝试枚举网络连接并转储 Active Directory 凭据,因为他们试图横向移动到域控制器等网络资源,从而允许部署勒索软件到所有联网系统。例如,Cobalt Strike 文档指出:
使用 net dclist 命令查找目标加入域的域控制器。使用 net view 命令在目标加入的域上查找目标。
除了网络发现和凭证转储之外,Cobalt Strike Beacon 还具有提权、加载和执行其他工具的能力,并将这些功能注入现有运行的主机进程中以试图避免检测。
Proofpoint 研究人员预计 Cobalt Strike 将继续成为威胁攻击者工具集中的常用工具。根据内部数据观察到的活动,数以万计的组织已经成为 Cobalt Strike 的目标,预计这个数字会在 2021 年继续增加。
![APT组织和黑客最喜欢的工具——Cobalt Strike]( "APT组织和黑客最喜欢的工具——Cobalt Strike")
图2:受到Cobalt Strike威胁的客户数量
Cobalt Strike 对于合法的安全研究人员和威胁行为者来说都是一个有用的工具。它的延展性和可用性使其成为一个强大而有效的工具,用于窃取数据、横向移动和加载额外的恶意软件负载。
Cobalt Strike 并不是 Proofpoint 数据中出现频率较高的唯一红队工具。其他还包括 Mythic、Meterpreter 和 Veil 框架。
使用公开可用的工具符合Proofpoint所观察到的一个更广泛的趋势:威胁攻击者正在使用尽可能多的合法工具,包括执行 Windows 进程,如 PowerShell 和 WMI;将恶意代码注入合法的二进制文件中;并经常利用合法的云服务(例如 Dropbox、Google Drive、SendGrid 和 Constant Contact)来托管和分发恶意软件。
proofpoint 给出了一些Cobalt Strike 的流量检测规则:
2028591 ET TROJAN Cobalt Strike Malleable C2 Request YouTube Profile
2028589 ET TROJAN Cobalt Strike Malleable C2 Response O365 Profile M2
2032749 ET TROJAN Cobalt Strike Malleable C2 Amazon Profile
2032746 ET TROJAN Cobalt Strike Malleable C2 QiHoo Profile
2027082 ET TROJAN Observed Malicious SSL Cert CobaltStrike C2
2023629 ET INFO Suspicious Empty SSL Certificate - Observed in Cobalt Strike
2032362 ET TROJAN Cobalt Strike Beacon Activity
2032951 ET TROJAN Observed Cobalt Strike User-Agent
参考链接:https://www.proofpoint.com/us/blog/threat-insight/cobalt-strike-favorite-tool-apt-crimeware
本文为CNTIC整理,不代表本公众号观点,转载请保留出处与链接。
![APT组织和黑客最喜欢的工具——Cobalt Strike]( "APT组织和黑客最喜欢的工具——Cobalt Strike")
本文始发于微信公众号(国家网络威胁情报共享开放平台):APT组织和黑客最喜欢的工具——Cobalt Strike
评论