Cobalt Strike - это легальный набор инструментов программного обеспечения для проникновения, разработанный компанией Forta. Однако его взломанные версии широко распространены среди злоумышленников, которые используют его в качестве системы C2 для целевых атак.
Что такое вредоносная программа Cobalt Strike
Cobalt Strike - это лицензионный пакет программного обеспечения для проникновения, разработанный компанией Forta (ранее Help Systems), который помогает "красным" командам имитировать противника в играх "красные против синих".
Хотя само программное обеспечение является полностью легальным и предназначено для тестирования кибербезопасности, за прошедшие годы многие его версии были взломаны и просочились в сеть. Несмотря на несколько попыток остановить злоупотребления - со стороны разработчика и интернет-сообщества - злоумышленники продолжают использовать его для установки многочисленных полезных нагрузок после компрометации сетей своих жертв.
Большинство этих взломанных версий были получены путем доступа к пробной версии - которая предоставляется только проверенным лицам, но, очевидно, хакеры нашли способ обойти это - и обойти проверку лицензии, а затем ограничения пробной версии. (Пробная версия Cobalt Strike имеет множество умышленных признаков, таких как строка EICAR, встроенная во все полезные нагрузки, и водяной знак).
Поскольку Cobalt Strike является легальным инструментом, в Интернете есть масса учебных материалов, иллюстрирующих возможности Cobalt Strike. Например, этот официальный плейлист на YouTube. Это, конечно, снижает порог входа и способствует популярности программы среди плохих агентов. Можно в буквальном смысле научиться злоупотреблять им непосредственно у его создателей.
Взломанные версии Cobalt Strike свободно распространяются на различных подпольных форумах и иногда встречаются на чистых ресурсах, таких как GitHub. Хотя большинство из них уже несколько устарели, они по-прежнему представляют серьезную угрозу - многие преступные группировки используют их для получения первоначального доступа и продвижения по сетям жертв.
Обзор анализа вредоносного ПО Cobalt Strike
Cobalt Strike состоит из нескольких компонентов, которые вместе образуют комплексный хакерский костюм. Центральным элементом программы является компонент Team Server - он выступает в качестве сервера C2 и координирующей программы, которая помогает нескольким противникам работать вместе и контролировать захваченные устройства. Для доступа к нему злоумышленники используют компонент Client, который служит графическим интерфейсом для Team Server.
Team Server может генерировать имплантаты шеллкода, называемые Stagers. Эти бесфайловые имплантаты доступны в виде шаблонов макросов VBA, Javascript и Powershell. Когда злоумышленник проникает и внедряет один из Stagers в сеть жертвы, он может связаться с Team Server через HTTP/HTTPS, SMB или DNS, чтобы получить и установить основную полезную нагрузку, известную как Beacon.
Beacon - это основной двоичный файл, который позволяет злоумышленнику удаленно управлять зараженными машинами. Он поддерживает широкий перечень вредоносных операций и предназначен для конфигурирования и расширения. Эта функция часто используется для доставки и запуска пользовательских модулей и делает вредоносные возможности Cobalt Strike практически безграничными. Более того, есть встроенные модули, которые позволяют злоумышленникам настраивать полезную нагрузку, чтобы избежать обнаружения: к ним относятся Artifact Kit, Malleable C2 Profiles и Resource Kit.
Кроме того, важно отметить, что поскольку Cobalt Strike изначально разрабатывался для командных учений, модули Team Server и Client позволяют преступным группировкам координировать взлом с одновременными действиями нескольких злоумышленников, потенциально нацеливаясь на множество слабых мест.
Полезная нагрузка, обычно доставляемая Cobalt Strike, варьируется от Ransomware до шпионских программ и даже Advanced Persistent Threats.
Процесс выполнения Cobalt Strike
Исполнение CobaltStike сильно варьируется от образца к образцу. Существует не только множество итераций клиента, но и сама программа часто обновляется разработчиками. Помимо распространенного типа, использующего исполняемый файл, существуют также версии, использующие powershell или JS для доминирования в зараженной системе.
Распространение Cobalt Strike
К сожалению, распространение Cobalt Strike плохо документировано, но считается, что он распространяется с помощью макросов, которые приходят вместе с зараженным исполняемым файлом, встроенным в фишинговое письмо. Сообщений об этой конкретной вредоносной программе немного, поэтому вывод был сделан на основе имеющейся скудной информации и того факта, что она является наиболее распространенным вектором атаки.
Заключение
Cobalt Strike завоевал отличную репутацию среди киберпреступников, которые продолжают использовать его в качестве командно-контрольной системы для доставки и выполнения самых разнообразных полезных нагрузок. Это прекрасный пример того, что может сделать легитимный комплект в чужих руках. Тем не менее, злоупотребление этим ПО является достаточно хорошо изученной темой в сообществе, и есть руководства, такие как это и это, которые могут помочь вам защититься от атак с использованием этого ПО.
Мы надеемся, что по мере продолжения хороших исследований и вооружения организаций против взломанных копий Cobalt Strike, злоупотребление этим мощным инструментом кибербезопасности в конечном итоге прекратится.