RSAC分享：Cobalt Strike，黑客首选APT工具

关于CobaltStrike

近二十年来，Metasploit黑客平台让安全团队既开心又沮丧，因为他们既需要平台来测试自己的网络，又担心网络罪犯或其他动机不良的人会利用此来对付他们。

今天，Metasploit在黑白帽之间仍然很流行，但是另一个红队工具——Cobalt Strike在攻击中扮演越来越重要的角色。攻击者正在使用定制的，克隆的或购买的版本的Cobalt Strike，在攻击的第二阶段使用该工具携带有效载荷（包括Metasploit攻击）。

CobaltStrike是一款基于Java编写的全平台多方协同后渗透攻击框架，也称为CS。早期版本依赖Metasploit框架，Cobalt Strike 3.0之后则是作为单独的平台使用。其支持多种通信协议，包括http、https、dns、smb等，同时集成了提权、凭据导出、端口转发、端口扫描、横向移动、Socks代理、钓鱼攻击等功能，且支持丰富的扩展插件，几乎可以覆盖APT攻击链所需的各个技术环节。木马生成方面也涵盖了大多数的平台和攻击场景，包括 PE木马、ELF木马、网页木马、Office宏病毒木马等。不过Cobalt Strike是一款商业运营的收费软件，每位使用者一年的许可证费用为3500美元，许可证续签费用为每年2500美元。

用于渗透测试的威胁模拟软件套件由研究员Raphael Mudge在2012年创建，并于去年被HelpSystems收购。恶意黑客间最流行的组件是信标（Beacon），其工作原理类似于攻击者，比如：运行PowerShell脚本，记录击键，捕获屏幕快照，窃取文件以及丢弃其他有效载荷或恶意软件。

截至发稿前，HelpSystems拒绝对此文章发表评论。

从去年至2021年上半年，Sophos提供的新数据（由白帽和事件响应者所见证）对攻击者的行为，工具，技术和程序（TTP）进行了分类统计，其中表明Cobalt Strike是攻击者使用的前五种工具之一，同时也在黑客使用PowerShell命令来伪装受害者网络上的活动时起到了关键作用。将近60％的PowerShell漏洞利用了Cobalt Strike，约12％的攻击同时使用了Cobalt Strike和Microsoft Windows的PowerShell/PsExec。根据Sophos的最新“ Active Adversary Playbook 2021 ”报告，在近三分之一的攻击中它还与PsExec同时使用。

Sophos的高级安全顾问John Shier说：“ Cobalt Strike有助于由PowerShell进行部署”。“ [Cobalt Strike]代码很久以前就已经在网上泄露，[黑客]知道如何使用它，并且这是一种逃避技术”，随着攻击的升级和蔓延，它将会持续隐藏在雷达之下。

SolarWinds供应链攻击 活动背后的俄罗斯GRU黑客小组是攻击者最引人注目的用途之一，他们构建了定制的shellcode加载程序，这些加载程序投放了Cobalt Strike负载：攻击的Teardrop和Raindrop恶意软件组件。

英特尔471的研究人员和事件响应者表示，对Cobalt Strike的恶意使用与近年来勒索软件的兴起有关，但也用于投放其他类型的恶意软件和窃取数据。使用Cobalt Strike的恶意软件组包括：Trickbot，Hancitor，Qbot，SystemBC，Smokeloader和Bazar。研究人员发布了危害指标，表明Cobalt Strike与这些恶意软件家族有关。

英特尔471的CISO布兰登·霍夫曼（Brandon Hoffman）表示，攻击者似乎喜欢Cobalt Strike的功能，尤其是信标组件。“从post-exploit工具的角度来看，它内置了许多功能；它非常适合第二阶段的攻击，您无需选择各种恶意软件，只需将其及其所有功能进行转换即可 “ 霍夫曼表示。

该工具还包含“可恶意攻击者”的命令和控制（C2）功能，该功能使攻击者可以将其C2网络塑造为不同的威胁。他说：“恶意的C2可以让您模仿行为或使C2流量看起来几乎像任何合法服务一样。” 因此，例如，如果一个组织允许用户流式传输Pandora，那么此时的恶意C2可能会伪装成受害者网络中的Pandora流量。

霍夫曼说：“这使得发现攻击变得极为困难。” “信标是完全定制的。”

专家称，即便如此， 仍有一些方法可以发现恶意滥用“Cobalt Strike”的情况。除了他们出现错误或留下线索之外，您可以通过积极地进行监视来发现“Cobalt Strike”传播的攻击是否正在展开：“因为在事件中间，通常 “Cobalt Strike”不作为第一个来攻击媒介，如果您发现某个命令和控制服务器发出了某些消息，则这可能是信标。” Hoffman解释说。而且，如果您为探测某些恶意脚本创建了Yara规则，那么您同样可以检测到它。

霍夫曼说：“有些人将Cobalt Strike重新用于同一个恶意软件家族，”霍夫曼说。他的团队今天发表了 有关部署“Cobalt Strike”的网络犯罪组织的发现（包括危害指标）。 

勒索软件线程

霍夫曼说：“我们已经发现了使用Cobalt Strike的（攻击者）人数与勒索软件的上升之间的相关性。但我们并不是说Cobalt Strike的情况正在加剧。” 勒索软件更多地是在攻击链的后期阶段被投递的。“在使用勒索软件之前，攻击者首先必须部署类似Cobalt Strike的东西。” 因此，在勒索发生之前发现该情况，则可以节省很多麻烦。

说到勒索软件，在Sophos的IR和威胁搜寻数据中表示，在他们调查的80％以上的事件中都发现了勒索软件。Sophos的Shier说：“勒索软件嘈杂，需要引起注意”，这就是为什么将这些案件被发现并标记的原因。他说：“在许多攻击中，即使我们已经注意到有Cobalt Strike活动，但（我们）依然没有采取后续行动。”

Red Canary的研究人员还发现攻击者使用Cobalt Strike进行了有针对性的攻击，包括支付卡盗窃和勒索软件活动。

 “ Cobalt Strike非常普遍和可靠，以至于对手知道自己可以通过安全控制获得有效载荷就可以成功地创建自己的自定义工具来简单地部署有效载荷。此功能演示了Cobalt Strike如何存身于几乎所有的威胁模型。”根据 Red Canary的报告，其中包含有关检测恶意Cobalt Strike活动的方法的详细信息。

参考资料：

https://www.darkreading.com/attacks-breaches/cobalt-strike-becomes-a-preferred-hacking-tool-by-cybercrime-apt-groups/d/d-id/1341073

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。