Een beveiligingslek in een instrument dat wordt gebruikt door cyber-criminele bendes is nu het helpen van onderzoekers belichten van de locaties van duizenden malware command-and-control (C&C) – servers.
De kwetsbaarheid –nu patches sinds het begin van het jaar– beïnvloed Kobalt Staking, een legitieme penetration testing tool die wordt gebruikt door de onderzoekers van de veiligheid op het emuleren van cyber-aanvallen.
Kobalt Staking is al meer dan een decennium, maar voor de afgelopen vijf jaar heeft het langzaam overgenomen door cyber-criminele groepen.
Malware bendes en de natie-staat cyber-spionage groepen hebben gebruikt Kobalt Staking vanwege zijn eenvoudige en zeer efficiënte client-server architectuur.
Cybercriminelen gebruiken Kobalt Staking voor het hosten van hun C&C-servers en vervolgens implementeren van malware op bedrijfsnetwerken door Kobalt “bakens” ze plant op geïnfecteerde hosts.
De afgelopen paar jaar, Kobalt Strike langzaam werd de ga-naar-toolkit voor veel dreiging actoren, zoals de FIN6 en FIN7 (Carbanak) cyber-criminele bendes, maar ook de natie-staat hackers zoals APT29 (Gezellige Beer).
Maar buiten het medeweten van al deze hacker groepen was dat Fox-IT onderzoekers ontdekten een bug in het Kobalt-Strike server component. Gebouwd op NanoHTTPD, een Java-gebaseerde web server, oplichters wist niet dat het een bug is dat toegestaan Fox-IT om hen te volgen sinds 2015.
Volgens Fox-IT onderzoekers, de NanoHTTPD server per ongeluk een extra ruimte op de server HTTP-antwoorden, zoals in de afbeelding hieronder.
Afbeelding: Fox-IT
Deze extra witruimte toegestaan Fox-IT op te sporen Kobalt Strike communicatie tussen bakens en hun C&C-servers door de jaren heen, tot 2 januari 2019, wanneer Kobalt Strike ontwikkelaars gepatcht de bug verwijderd en de extra ruimte in versie 3.13.
“In totaal Fox-IT heeft waargenomen 7718 unieke Kobalt Strike team server of NanoHTTPD hosts tussen de periode van 2015-01 en 2019-02,” aldus het bedrijf in een blogpost van deze week.
Omdat het probleem is nu gecorrigeerd, Fox-IT onderzoekers bleek dit trucje, samen met een lijst van historische IP-adressen gebruikt, of nog hosting Kobalt Strike C&C-servers.
Het bedrijf hoopt dat de beveiliging teams gebruiken deze lijst om te controleren hun netwerk zich aanmeldt voor deze IP-adressen en herkennen van het verleden of de huidige inbreuken op de beveiliging.
Sommige van deze IP-adressen zou kunnen behoren tot legitieme Kobalt Strike exemplaren gehost door beveiligingsbedrijven voor testdoeleinden, maar Fox-IT is van mening dat veel van deze zijn ook van de hacker groepen.
Ze zei dat een vluchtig onderzoek van hun lijst van 7.700+ IP-adressen geopenbaard malware C&C-servers gebonden aan China ‘ s APT10 overheid hacken eenheid, de Bokbot banking trojan, en servers die worden beheerd door de restanten van de Cobalt Group (ook bekend als FIN7 of Carbanak).
KnownSec 404 Team, een Chinese cyber-security bedrijf dat draait de ZoomEye IoT zoekmachine bevestigd Fox-IT ‘s ontdekking door het identificeren van 3,643 Kobalt Strike NanoHTTPD-servers die nog operationeel is op dit moment –86 procent van die waren ook op Fox-IT’ s list, aldus het bedrijf.
Fox-IT zegt dat de huidige scans voor de extra witruimte draaien minder en minder resultaat, als de servers worden steeds hersteld.
Echter, het bedrijf zegt dat de meeste dreigingen hebben de neiging om het gebruik van illegale, gebarsten, en niet versies van de Kobalt Strike software, en daarom blijft ongepatchte voor een lange tijd te komen.
Als rechtmatig eigendom servers krijgt de Kobalt Strike patch, de meeste van de servers die zal komen tijdens scans in de komende toekomst zal waarschijnlijk een deel van malware-activiteiten.
Afbeelding: Fox-IT
Malware en cybercriminaliteit verwante dekking:
Exploitant van acht DDoS-voor-het huren van een pleit guiltyCoinhive cryptojacking service te sluiten in Maart 2019Russian nationale, auteur van NeverQuest banking trojan, pleit guiltyCredit card gegevens ter waarde van bijna $3,5 miljoen voor verkoop op hacking forumMalware die jaagt voor rekening referenties op adult websites verdrievoudigde in 2018POS bedrijf zegt hackers geplant malware op klantnetwerken
Malware kan nu het ontwijken van cloud security tools TechRepublicCryptomining malware ontdekt, vermomd als Flash-updates CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters