Cómo identificar el impacto de cobalto en su pink



Los sistemas antivirus habituales suelen pasar por alto Cobalt Strike, un package de herramientas de emulación de amenazas sigilosas admirado tanto por los equipos rojos como por los atacantes.

Desde su introducción, Cobalt Strike se ha convertido en uno de los paquetes de software de emulación de amenazas más frecuentes utilizados por los equipos de seguridad informática. Desafortunadamente, su combinación de múltiples técnicas de explotación también convierte a Cobalt Strike en una plataforma elegida por los atacantes.

En los últimos meses, hemos visto el uso de Cobalt Strike en múltiples exploits. En el Ataque de ransomware WastedLocker, un grupo de amenazas persistentes avanzadas (APT) utilizó Cobalt Strike para moverse lateralmente dentro de una purple. Los grupos APT también utilizaron Cobalt Strike en la campaña de malware de temática militar para atacar organizaciones militares y gubernamentales en el sur de Asia.

Los sistemas antivirus (AV) comunes, que se centran en los datos de seguridad, a menudo pasan por alto Cobalt Strike. La plataforma utiliza numerosas técnicas para evadir la detección. Además, Cobalt Strike se puede combinar con otras herramientas de ataque como Mimikatz, Metasploit y PowerShell Empire para moverse lateralmente a través de la crimson.

Pero hay buenas noticias para los profesionales de la seguridad: Cobalt Strike tiene marcadores de pink muy distintos. Puede utilizar esos mercados para detectar Cobalt Strike en su crimson.

¿Qué es tan difícil de detectar el impacto de cobalto?
Cobalt Strike implementa dos técnicas principales para evitar la detección por los sistemas AV convencionales. 1) oculta el código de shell y 2) aprovecha un lenguaje específico del dominio llamado Mando y manage maleable (C2 maleable). Miremos cada uno.

Técnica # 1
Hoy en día, los sistemas AV comúnmente implementan sandboxing para detectar ejecutables. Sandboxing proporciona un entorno independiente para ejecutar e inspeccionar ejecutables sospechosos. Cobalt Strike, sin embargo, oculta shellcode sobre una tubería con nombre. Si el sandbox no emula las canalizaciones con nombre, no encontrará el código de shell malicioso. Además, el atacante puede modificar y construir sus propias técnicas con Cobalt Strike Artifact Kit.

Técnica # 2
Después de la explotación, Cobalt Strike imita los servicios populares, como Gmail, Bing y Pandora, para evadir la detección. La plataforma utiliza Malleable C2, que brinda a los atacantes la capacidad de modificar el tráfico de comando y regulate (C2) de Cobalt Strike a su voluntad. El atacante puede identificar aplicaciones legítimas dentro de la organización de destino, como el tráfico de Amazon, y modificar el tráfico C2 para que aparezca como tráfico de Amazon utilizando cualquier número de perfiles disponibles públicamente, como este. para Amazon en GitHub.

En la captura de pantalla siguiente (Figura 1) puede ver el perfil de Cobalt Strike que falsifica el URI de video clip de CNN y encabezados HTTP como «Host», «Referer» y «X-expected-With», por lo que la solicitud HTTP se verá como una solicitud para Online video de CNN.

Indicadores de crimson para detectar impactos de cobalto
Para identificar Cobalt Strike, look at el tráfico de la pink. Dado que los perfiles predeterminados de Cobalt Strike evaden las soluciones de seguridad al falsificar el tráfico HTTPS, debe utilizar la inspección TLS. Luego, aísle el tráfico de bots y, una vez hecho, identifique el tráfico sospechoso examinando los datos dentro de las solicitudes HTTPS.

Examinar las comunicaciones de red
Para distinguir el tráfico generado por humanos del tráfico generado por robots, examinamos la frecuencia de las comunicaciones con un objetivo. El tráfico generado por bots tiende a ser consistente y uniforme, como puede ver a continuación en el gráfico de frecuencia de flujo. El tráfico generado por humanos tiende a variar con el tiempo, mientras que el tráfico generado por máquinas tiende a distribuirse casi uniformemente.

Sin embargo, el hecho de que el tráfico lo genere un bot no lo convierte en malicioso. Existen numerosos bots buenos, como los actualizadores de SO. Debe identificar los bots que probablemente sean sospechosos, y puede hacerlo investigando el flujo de tráfico.

Examinar el agente de usuario
Al observar el origen del tráfico de bots, inspeccionamos el agente de usuario que genera el tráfico TLS. Al principio, el agente de usuario parece legítimo, supuestamente generado por Mozilla / 5. (Windows NT 6.1), el valor de Web Explorer (IE).

Sin embargo, los agentes de usuario pueden falsificarse fácilmente. Algunos algoritmos de aprendizaje automático derivan el verdadero agente de usuario de los flujos de paquetes y, en este caso, lo marcan como «no identificado». La discrepancia nos da un fuerte indicador de que probablemente estemos viendo tráfico malicioso.

Take a look at el destino
A continuación, examinamos el dominio de destino: dukeid (.) Com. Para muchos, este punto será menos concluyente. Según VirusTotal, podemos ver que menos del 10% de los 83 motores AV (siete para ser exactos) etiquetaron este dominio como malicioso. Sin embargo, los modelos de reputación de proveedores han clasificado a dukeid.com como malicioso, lo que nos da otro indicador de compromiso (IoC) o artefacto de pink que probablemente indique una intrusión.

Examinar el encabezado del host
Nos adentramos más en el paquete y examinamos el encabezado del host HTTP, que en este caso period www.amazon.com. Sin embargo, el tráfico se dirigió al dominio «dukeid (.) Com». Esto nos da otra poderosa evidencia de que estamos viendo Cobalt Strike como un encabezado de host falso es parte del perfil de Amazon de Cobalt Strike.

Examinar el URI
Finalmente, examinamos el identificador uniforme de recursos (URI) de destino del flujo. Vemos que URI coincide con uno asociado con Cobalt Strike Malleable C2:

/ s / ref = nb_sb_noss_1 / 167-3294888-0262949 / discipline-keywords = libros

Solo, bloquear el URI no será efectivo. Es un URI de Amazon falso y bloquearlo también bloquearía el tráfico a los URI de Amazon legítimos. De ahí la necesidad de seguir los pasos descritos anteriormente.

El módulo Malleable C2 en Cobalt Strike es una herramienta avanzada que permite a los atacantes personalizar el tráfico de balizas y crear comunicaciones encubiertas. Los sistemas AV pueden no ser suficientes para proteger una purple. Incluso después de que se identificó la amenaza y se notificó al cliente, sus sistemas AV aún no pudieron detectar y eliminar la amenaza. Sin embargo, centrarse en las características de la crimson del malware permitió identificar la amenaza. Es un excelente ejemplo de cómo la combinación de información de seguridad y redes puede conducir a una mejor detección de amenazas.

Zohar Buber es analista de seguridad en Cato Analysis Labs en Cato Networks. Se centra en el análisis de protocolos de red y la detección de tráfico malicioso, y se especializa en la identificación de amenazas mediante métodos basados ​​en la red. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first