漏洞暴露了成千上萬(wàn)個(gè)惡意C＆C服務(wù)器的位置

網(wǎng)絡(luò)犯罪分子使用的工具中的漏洞現(xiàn)在正在幫助研究人員揭示成千上萬(wàn)個(gè)惡意軟件命令與控制(C&C)服務(wù)器的位置。

自今年年初以來(lái)已修補(bǔ)的漏洞影響了Cobalt Strike，這是安全研究人員用來(lái)模擬網(wǎng)絡(luò)攻擊的合法滲透測(cè)試工具。

Cobalt Strike已經(jīng)存在了十多年，但在過(guò)去的五年中，它也逐漸被網(wǎng)絡(luò)犯罪組織所采用。

惡意軟件幫派和國(guó)家級(jí)網(wǎng)絡(luò)間諜團(tuán)體已使用Cobalt Strike，因?yàn)樗哂泻?jiǎn)單而高效的客戶端-服務(wù)器架構(gòu)。

網(wǎng)絡(luò)犯罪分子使用Cobalt Strike托管其C&C服務(wù)器，然后通過(guò)它們?cè)谑芨腥局鳈C(jī)上植入的Cobalt“信標(biāo)”將惡意軟件部署在公司網(wǎng)絡(luò)上。

在過(guò)去的幾年中，Cobalt Strike逐漸成為許多威脅參與者的首選工具包，例如FIN6和FIN7(Carbanak)網(wǎng)絡(luò)犯罪幫派，以及民族國(guó)家的黑客，例如APT29(Cozy Bear)。

但是所有這些黑客組織都不知道的是Fox-IT研究人員發(fā)現(xiàn)了Cobalt Strike服務(wù)器組件中的錯(cuò)誤。騙子基于基于Java的Web服務(wù)器NanoHTTPD構(gòu)建，不知道它包含一個(gè)錯(cuò)誤，該錯(cuò)誤使Fox-IT自2015年以來(lái)就可以對(duì)其進(jìn)行跟蹤。

根據(jù)Fox-IT研究人員的說(shuō)法，NanoHTTPD服務(wù)器意外地在服務(wù)器的HTTP響應(yīng)中添加了額外的空間，如下圖所示。

這些額外的空白使Fox-IT多年來(lái)可以檢測(cè)信標(biāo)與其C&C服務(wù)器之間的Cobalt Strike通信，直到2019年1月2日，當(dāng)時(shí)Cobalt Strike開發(fā)人員修補(bǔ)了該錯(cuò)誤并刪除了版本3.13中的多余空間。

該公司在本周的博客中說(shuō)：“在2015-01到2019-02期間，F(xiàn)ox-IT總共觀察到7718臺(tái)獨(dú)特的Cobalt Strike團(tuán)隊(duì)服務(wù)器或NanoHTTPD主機(jī)。”

由于此問(wèn)題已得到修補(bǔ)，F(xiàn)ox-IT研究人員揭示了此小技巧，以及一列曾經(jīng)或仍在托管Cobalt Strike C&C服務(wù)器的歷史IP地址。

該公司希望安全團(tuán)隊(duì)使用此列表檢查其IP地址的網(wǎng)絡(luò)日志，并確定過(guò)去或當(dāng)前的安全漏洞。

其中一些IP地址可能屬于安全公司出于測(cè)試目的托管的合法Cobalt Strike實(shí)例，但Fox-IT認(rèn)為其中許多也來(lái)自黑客組織。

他們說(shuō)，粗略檢查了他們的7700多個(gè)IP地址列表，發(fā)現(xiàn)與中國(guó)APT10政府黑客部門，Bokbot銀行木馬綁定的惡意C&C服務(wù)器以及由Cobalt Group(也稱為FIN7或Carbanak)的殘余物管理的服務(wù)器。

運(yùn)行ZoomEye IoT搜索引擎的中國(guó)網(wǎng)絡(luò)安全公司KnownSec 404 Team通過(guò)確定3,643臺(tái)基于Cobalt Strike NanoHTTPD的服務(wù)器仍在運(yùn)行中，證實(shí)了Fox-IT的發(fā)現(xiàn)，其中86%的服務(wù)器也在Fox-IT上該公司表示。

Fox-IT表示，隨著對(duì)服務(wù)器進(jìn)行修補(bǔ)，當(dāng)前對(duì)多余空格的掃描變得越來(lái)越少。

但是，該公司表示，大多數(shù)威脅行為者傾向于使用盜版，破解和未注冊(cè)的Cobalt Strike軟件，因此將在很長(zhǎng)一段時(shí)間內(nèi)保持未打補(bǔ)丁的狀態(tài)。

由于合法擁有的服務(wù)器將收到Cobalt Strike修補(bǔ)程序，因此在未來(lái)的掃描過(guò)程中將出現(xiàn)的大多數(shù)服務(wù)器很可能是惡意軟件操作的一部分。