新的Cobalt Strike 漏洞允許關閉攻擊者的伺服器

Cobalt Strike是一款合法的滲透測試工具，設計用於紅隊(一組安全專業人員，他們在自己組織的基礎設施上充當攻擊者，以發現安全漏洞和漏洞)的攻擊框架。

然而，Cobalt Strike也被威脅行為者(通常在勒索軟體攻擊期間使用)用於部署所謂信標(beacon)後的利用任務，這些信標為他們提供對被攻擊裝置的持久遠端訪問。

利用這些信標，攻擊者可以隨後訪問被入侵的伺服器，獲取資料或部署第二階段的惡意軟體載荷。

將基礎設施作為目標

SentinelOne威脅研究團隊在最新版本的Cobalt Strike的伺服器中發現了統稱為CVE-2021-36798(並稱為Hotcobalt)的DoS漏洞。

他們發現，人們可以在特定的Cobalt Strike安裝的伺服器上註冊假信標。透過向伺服器傳送假任務，可以耗盡可用記憶體從而導致伺服器崩潰。

崩潰會導致已經安裝的信標無法與C2伺服器通訊，阻止新的信標被安裝在被滲透的系統上，並干擾正在進行的紅隊(或惡意)使用部署的信標的操作。

SentinelLabs表示:“這讓惡意行為者導致Cobalt伺服器(Teamserver)執行所在機器的記憶體耗盡，導致伺服器在重啟之前無法響應。”

“這意味著在操作員重新啟動伺服器之前，實時信標無法與其C2通訊。但是，重新啟動不足以抵禦此漏洞，因為有可能反覆瞄準伺服器，直到它被修補或信標的配置是變了。”

由於Cobalt Strike也被威脅行為者大量用於各種惡意目的，執法和安全研究人員也可以利用Hotcobalt漏洞來摧毀惡意基礎設施。

瞭解這些漏洞後，CobaltStrike在昨天早些時候釋出的Cobalt Strike 4.4中解決了這些漏洞。

RCE和原始碼洩露

這並不是影響CobaltStrike的第一個漏洞，在2016年，HelpSystems已經在團隊伺服器上修補了一個目錄遍歷攻擊漏洞，導致遠端程式碼執行攻擊。

2020年11月，BleepingComputer報告稱，Cobalt Strike後開發工具包的原始碼據稱在GitHub儲存庫中洩露。

高階英特爾的Vitali Kremez當時告訴記者，洩漏的很可能是2019年Cobalt Strike 4.0版本重新編譯的原始碼。

Kremez還表示，Cobalt Strike原始碼可能發生洩露“對所有捍衛者都有重大影響，因為它消除了獲取工具的進入阻礙，從本質上說，使犯罪團伙更容易獲得和修改所需的程式碼。”

軟體安全漏洞為網路攻擊者提供了可乘之機，尤其隨著應用軟體種類和功能不斷增加，為網路攻擊提供更大的攻擊面。而 靜態程式碼安全檢測可以在軟體開發階段檢測、查詢程式碼語義上的缺陷和執行時缺陷，同時能發現一些執行時的安全漏洞，便於開發人員第一時間定位缺陷所在，並修復缺陷和安全漏洞，節省大量時間人力成本，同時將經濟損失降至最低