駭客改造滲透測試工具Cobalt Strike相容Linux信標

安全研究人員發現了一個由未知駭客組織製作的Cobalt Strike Beacon Linux版本，以協調對全球範圍內廣泛目標的攻擊。這些攻擊針對的是電信公司、政府機構、IT公司、金融機構和諮詢公司。

代號為Vermilion的威脅行為者修改Cobalt Strike的一個版本 ，Cobalt Strike是一種合法的滲透測試工具，被用作紅隊的攻擊框架(一群安全專業人員在自己的組織基礎設施上充當攻擊者，以發現安全漏洞和漏洞。)

Cobalt Strike還被威脅行為者(通常在勒索軟體攻擊中刪除)用於部署所謂的信標後的後利用任務，這些信標提供對受感染裝置的持久遠端訪問。使用信標，攻擊者可以晚些訪問被破壞的伺服器以收集資料或部署更多的惡意軟體負載。

雖然開發該工具是為了幫助安全公司模擬威脅參與者使用的技術作為滲透測試的一部分，但該工具的高階功能也使其成為網路犯罪組織的最愛。

隨著時間的推移，Cobalt Strike的破解副本已被威脅行為者獲取並共享，成為資料盜竊和勒索軟體的網路攻擊中最常用的工具之一。但此前Cobalt Strike 一直有一個弱點，它只支援Windows裝置，不包括Linux信標。

Cobalt Strike Beacon移植到Linux

在安全公司Intezer的一份新報告中，研究人員解釋了威脅行為者如何自行建立與 Cobalt Strike相容的Linux信標。使用這些信標，攻擊者現在可以在Windows和Linux機器上獲得永續性和遠端命令執行。

研究人員表示，為了避免惡意軟體被檢測到，Vermilion組織開發了Vermilion Strike，這是Cobalt Strike Beacon後門的獨一無二的Linux版本。此外，該組織還重新編寫了Beacon後門的原始Windows 版本，目前完全未被防毒軟體檢測到。

Vermilion Strike帶有與官方Windows 信標相同的配置格式，可以與所有Cobalt Strike 伺服器對話，但不使用任何Cobalt Strike的程式碼。

這種新的Linux惡意軟體還具有技術上的重疊(相同的功能和命令和控制伺服器)，Windows DLL檔案提示同一個開發人員。

Intezer說:“隱形樣本在與C2伺服器通訊時使用了Cobalt Strike的命令和控制(C2)協議，並具有遠端訪問功能，如上傳檔案、執行shell命令和寫入檔案。”

在發文時，病毒查殺工具中完全沒有檢測到該惡意軟體，該惡意軟體是從馬來西亞上傳的。

Vermilion Strike一旦部署在受感染的Linux系統上就可以執行以下任務：

更改工作目錄

獲取當前工作目錄

附加/寫入檔案

上傳檔案到C2

透過 popen 執行命令

獲取磁碟分割槽

列出檔案

自8月以來部署在持續攻擊中

透過資料監測，Intezer還發現自2021年8月以來，來自全球電信公司和政府機構、IT 公司、金融機構和諮詢公司等各個行業的多個組織成為使用Vermilion Strike目標。

還值得一提的是，Vermilion Strike並不是唯一一個將Cobalt Strike的Beacon移植到Linux的埠，它使用了geacon，一個基於go的開源實現，在過去的兩年中已經公開。

然而，這是第一個用於真正攻擊的Linux實現。目前沒有關於攻擊者用來針對Linux系統的初始攻擊向量的資訊。但透過對其複雜性和活動意圖以及該程式碼從未在其他攻擊中出現這些情況進行分析，這種惡意軟體是由熟練的威脅行為者開發的。

透過對勒索事件的分析可以發現，這些勒索軟體不但一直在更新技術能力，而且對實體造成的破壞嚴重超出公眾認知，每個行業對於勒索軟體攻擊都不應存在僥倖心理。因此，為了躲開勒索軟體攻擊，避免企業產生不必要的損失，要更加重視網路安全防護。目前各企業仍以傳統的“老三樣”(防火牆、防毒軟體、動態漏洞掃描)作為對網路、系統進行安全防禦的手段，但大多數情況下，遭受攻擊的企業都是因為軟體程式碼編寫過程中存在的技術漏洞與邏輯漏洞被發現利用所導致的，因此在做好外部安全防護的同時，更要對軟體原始碼本身是否存在安全隱患做好檢測與預防，利用靜態程式碼檢測分析技術，加上傳統的老三樣防護手段，才能真正做好抵禦網路安全風險的能力。Wukong(悟空) 靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：

https://www.bleepingcomputer.com/news/security/hacker-made-linux-cobalt-strike-beacon-used-in-ongoing-attacks/