En sårbarhed i et værktøj, der bruges af cyber-kriminelle bander er nu, som kan hjælpe forskere med at eksponere de tusindvis af malware kommando-og-kontrol (C&C) – servere.
Sårbarheden –nu lappet siden starten af året– påvirket Cobalt-Strike, et legitimt penetration test værktøj, der anvendes af sikkerhed forskere at efterligne cyber-angreb.
Cobalt-Strike har været rundt i mere end et årti, men i de sidste fem år, har det langsomt blevet vedtaget af cyber-kriminelle grupper.
Malware bander og nation-state cyber-spionage grupper har brugt Kobolt Strejke på grund af sin enkle og meget effektive klient-server-arkitektur.
Cyber-kriminelle bruger Cobalt Strejke for at være vært for deres C&C-servere, og derefter installere malware på virksomhedens netværk via Kobolt “beacons” de plante på inficerede værter.
I løbet af de seneste par år, Kobolt Strike langsomt blev til gå til-toolkit for mange trussel aktører, såsom FIN6 og FIN7 (Carbanak) cyber-kriminelle bander, men også nation-state hackere som APT29 (Hyggelige Bjørn).
Men ukendt for alle disse hacker grupper var, at Fox-IT-forskere har opdaget en fejl i Kobolt-Strike server-komponent. Bygget på NanoHTTPD, en Java-baseret web-server, skurke vidste ikke, at det indeholdt en fejl, der er tilladt Fox-IT til at spore dem, da 2015.
Ifølge Fox-IT-forskere, NanoHTTPD server ved et uheld tilføjet en ekstra plads i serverens HTTP-svar, som på billedet nedenfor.
Billede: Fox-IT
Denne ekstra blanktegn er tilladt Fox-DET at opdage Kobolt Strike kommunikation mellem beacons og deres C&C-servere på tværs af år, indtil januar 2, 2019, når Kobolt Strike udviklere rettet fejlen og fjernet den ekstra plads i version 3.13.
“I alt Fox-DET har observeret 7718 unikke Kobolt Strike team server eller NanoHTTPD værter mellem den periode, 2015-01 og 2019-02,” siger virksomheden i et blog-indlæg i denne uge.
Fordi spørgsmålet er nu lappet, Fox-IT-forskere afslørede dette lille trick, sammen med en liste over historiske IP-adresser, der anvendes til eller er stadig hosting Kobolt Strike C&C servere.
Selskabet håber, at security teams bruge denne liste til at kontrollere deres netværk logs for disse IP-adresser og identificere tidligere eller nuværende brud på sikkerheden.
Nogle af disse IP-adresser, der tilhører lovlige Kobolt Strike tilfælde hosted af vagtselskaber til testformål, men Fox-IT mener, at mange af disse er også fra hacker-grupper.
De sagde, at en overfladisk gennemgang af deres liste over 7,700+ IP-adresser afsløret malware C&C-servere bundet til Kinas APT10 regering hacking enhed, Bokbot bank trojan, og servere administreret af resterne af Kobolt-Gruppen (også kendt som FIN7 eller Carbanak).
KnownSec 404 Team, en Kinesisk cyber-sikkerhed firma, der kører ZoomEye tingenes internet søgemaskine bekræftet Fox-IT ‘s opdagelse ved at identificere 3,643 Kobolt Strike NanoHTTPD-baserede servere, der stadig er i drift i dette øjeblik –86 procent, der var også på Fox-IT’ s liste, siger virksomheden.
Fox-DEN siger, at den nuværende scanninger for ekstra mellemrum vender færre og færre resultater, som servere bliver lappet.
Men virksomheden siger, at de fleste trussel aktører har en tendens til at bruge piratkopier, revnet og ikke-registrerede versioner af Kobolt Strike software, og derfor vil forblive uændrede i lang tid fremover.
Som legitimt-ejede servere vil modtage Kobolt Strike patch, de fleste af de servere, der vil komme op i løbet af scanninger i den kommende fremtid vil højst sandsynligt være en del af malware operationer.
Billede: Fox-IT
Malware og cyber-kriminalitet relateret dækning:
Operatøren af otte DDoS-til-leje service plæderer guiltyCoinhive cryptojacking service til at lukke ned i Marts 2019Russian nationale, forfatter af NeverQuest bank trojan, plæderer guiltyCredit kortoplysninger til en værdi af næsten $3,5 millioner udbudt til salg på hacking forumMalware, der jager konto legitimationsoplysninger på voksen websites tredoblet i 2018POS virksomheden står hackere plantet malware i kundens netværk
Malware kan nu unddrage cloud sikkerhed værktøjer TechRepublicCryptomining malware opdaget maskeret som Flash opdateringer, CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre