谷歌最近发布了一份 YARA 检测规则列表,针对黑客利用的合法 Cobalt Strike 渗透测试框架的恶意变体。Cobalt Strike 是红队的商业攻击框架,但也被许多威胁行为者使用,从 APT 组织到勒索软件团伙和其他网络犯罪分子。
ⓒ 盖蒂图片银行
广义的自给自足策略
现在,攻击者利用系统管理、取证或安全工具的情况非常普遍,这些工具已经安装在系统上,或者可以轻松部署而不会引起怀疑。这也被称为“离地生存”(LOTL) 战术,它曾经是一群技术精湛的网络间谍的标志,他们通过手动黑客攻击在环境中横向移动,并非常重视秘密行动。该方法基于以下事实:如果 IT 或安全团队使用工作环境中常用的工具,则很难使用组织检测和阻止恶意软件的方法来检测和发现恶意软件。由于误报风险很高,安全公司也不愿意将这些工具标记为恶意工具。
看到这种策略的成功 多网络犯罪组织已经开
始放弃使用具有自我传播能力的高 南非电话号码数据 度自动化恶意软件感染尽可能多的系统的传统方法。现在,他们寻找易受攻击的入口点,部署轻量级植入程序进行远程访问,然后使用开源网络扫描仪、凭证转储程序和良性权限升级工具进行横向移动。
这种变化明显的攻击领域之一是勒索软件。以前的勒索软件使用自动漏洞在网络上传播,给每个人留下相同的勒索信息。如今,大多数勒索软件程序都是在攻击的最后阶段手动分发的,此时黑客已进入网络并活跃数天或数周以获得域管理员访问权限。
什么是钴击?Cobalt Strike 是一个可广泛定制的攻击框架
供渗透测试人员和安 数字列表 全红队用来模拟现实世界的网络威胁该文件作为单个 Java 存档文件 (JAR) 分发,包括攻击命令服务器、团队服务器、在攻击者系统上。运行的客户端(具有用于与服务器交互的图形用户界面)以及部署在受害者系统上的远程访问植入含的。
该服务器还包括各种 JavaScript、VBA 宏和 PowerShell 模板,攻击者可以使用它们在目标系统上执行 shellcode。shellcode 使用多种受支持的协议之一(包括 HTTPS、SMB 和 DNS)连接到团队服务器,并下载信标。
当今市场上还有其他渗透测试框架,网络犯罪分子并不是唯一使用 Cobalt Strike 的框架。开源 Metasploit 框架和 Meterpreter 植入早在 Cobalt Strike 之前就已被用于恶意攻击。事实上,Cobalt Strike 本身植根于 Metasploit 框架,最初是作为 Armitage 的衍生项目而开始的,Armitage 是 Metasploit 框架的基于 Java 的 GUI 前端。PowerShell Empire 是另一个曾经在攻击者中流行的后利用和对抗模拟框架,现已不再维护。
利用旧的破解版本
然而,与其他工具不同,Cobalt Strike 不是免费的。事实上,它相当昂贵,每个用户每年的许可费为 5,900 美元。大多数依赖 Cobalt Strike 的攻击者都会使用网上泄露的旧破解版本来避免成本。这就是检测机会出现的地方。这是因为正常付款的客户可能会使用最新版本的框架以及所有最新的错误修复。考虑到这一点,Google 研究人员开始为 2012 年以来发布的每个版本的 Cobalt Strike 映射独特的文件和模板。
谷歌云威胁情报(GCTI)研究人员在一篇博客文章中写道:“泄露的 Cobalt Strike 破解版本不是 Fortra(拥有并销售 Cobalt Strike 的公司)的最新版本,通常至少落后一个版本。” 为了专注于这些旧版本,我们创建了数百个独特的签名,并将它们整合到 VirusTotal 上可用的社区签名集合中。“我们还在继续努力提高整个行业的开源安全性,包括将我们的签名作为开源发布给愿意在自己的产品中部署这些签名的网络安全公司。
