Cobalt Strike se convierte en una herramienta de piratería preferida por …



Los casos de respuesta a incidentes y la investigación muestran cómo la herramienta del equipo rojo se ha convertido en un recurso para los atacantes.

CONFERENCIA RSA 2021 – Durante casi dos décadas, la plataforma de piratería de código abierto Metasploit ha ganado una mezcla de entusiasmo y frustración por parte de los equipos de seguridad que necesitan las herramientas para probar sus propias redes, pero también temen que los ciberdelincuentes u otros actores maliciosos puedan usarla contra ellos en ataques.

Metasploit sigue siendo preferred hoy en día entre los piratas informáticos buenos y malos, pero otra herramienta del equipo rojo, Cobalt Strike, desempeña cada vez más un papel importante en los ataques. Los atacantes están armando la herramienta para la segunda etapa de los ataques para transportar cargas útiles (incluidas las vulnerabilidades de Metasploit) una vez que han penetrado en la purple de la víctima utilizando versiones personalizadas, clonadas o incluso compradas de Cobalt Strike.

El paquete de computer software de emulación de amenazas para pruebas de penetración fue creado por el investigador Raphael Mudge en 2012 y fue adquirido el año pasado por HelpSystems. Su componente más well-liked entre los piratas informáticos nefastos es Beacon, una carga útil que funciona como un atacante, ejecutando scripts de PowerShell, registrando pulsaciones de teclas, tomando capturas de pantalla, robando archivos y dejando caer otras cargas útiles o malware.

HelpSystems se negó a comentar este artículo.

Los nuevos datos de Sophos que catalogaron el comportamiento, las herramientas, las técnicas y los procedimientos de los atacantes (TTP) atestiguados por sus cazadores de amenazas y respondedores de incidentes el año pasado y durante la primera parte de 2021 muestran que Cobalt Strike es una de las cinco principales herramientas utilizadas por los atacantes. También es un elemento clave cuando los atacantes emplean comandos de PowerShell para camuflar su actividad en la red de una víctima. Casi el 60% de las vulnerabilidades de PowerShell emplean Cobalt Strike, y alrededor del 12% de los ataques utilizan una combinación de Cobalt Strike y las herramientas de Microsoft Home windows PowerShell y PsExec. También está emparejado con PsExec en casi un tercio de los ataques, según el nuevo «Libro de jugadas del adversario activo 2021» informe.

«Cobalt Strike se presta para ser implementado por PowerShell» y PsExec, dice John Shier, asesor de seguridad senior de Sophos. «El código (Cobalt Strike) se filtró en línea hace mucho tiempo, (los atacantes) saben cómo usarlo, y es una tecnología de evasión» para permanecer bajo el radar mientras un ataque se intensifica y se propaga.

En uno de sus usos más destacados por parte de los atacantes, el equipo de piratería de GRU ruso detrás del Ataque a la cadena de suministro de SolarWinds La campaña creó cargadores de shellcode personalizados que dejaron caer cargas útiles de Cobalt Strike: los componentes de malware Teardrop y Raindrop del ataque.

Los investigadores y el personal de respuesta a incidentes de Intel 471 dicen que el uso malicioso de Cobalt Strike se correlaciona con el aumento del ransomware en los últimos años, pero también se united states para eliminar otros tipos de malware y robar datos. Entre los grupos de malware que utilizan Cobalt Strike: Trickbot, Hancitor, Qbot, SystemBC, Smokeloader y Bazar. Los investigadores publicaron hoy indicadores de compromiso que indican que Cobalt Strike está en juego con estas familias de malware.

Brandon Hoffman, CISO de Intel 471, dice que a los atacantes parecen gustarles las características de Cobalt Strike, específicamente el componente Beacon. «Tiene tantas características integradas desde la perspectiva de una herramienta posterior a la explotación es un ajuste perfecto para un ataque de segunda etapa y, en lugar de seleccionar y elegir diferentes piezas de malware, simplemente coloca esta herramienta y todas sus características en ella, » él dice.

La herramienta también contiene una función de comando y control «maleable» (C2), que permite a un atacante diseñar su pink C2 para que aparezca como un grupo de actores de amenazas diferente. «El C2 maleable le permite imitar el comportamiento o hacer que el tráfico C2 parezca casi cualquier servicio legítimo», dice. Entonces, si una organización permite a los usuarios transmitir Pandora, por ejemplo, un C2 maleable podría disfrazarse como tráfico de Pandora en la crimson de la víctima, dice.

«Eso hace que sea extremadamente difícil» detectar un ataque, dice Hoffman. «Beacon es tan personalizable».

Aun así, hay formas de detectar el abuso malicioso de Cobalt Strike, dicen los expertos. Además de que los malos cometan errores y dejan pistas o migas de pan, puede detectar el desarrollo de un ataque transmitido por Cobalt Strike si está monitoreando la actividad: «Porque Cobalt Strike no se united states of america generalmente en el primer vector de ataque, en medio de un incidente respuesta (caso) si ve algo que viene de uno de los servidores de comando y management, podría ser Beacon «, explica Hoffman. Y si crea reglas de Yara para ciertos scripts maliciosos, eso también puede detectarlo.

«Donde vimos Cobalt Strike en la naturaleza, algunas personas lo habían reutilizado para la misma familia de malware», dice Hoffman, cuyo equipo hoy publicó sus hallazgos sobre los grupos de ciberdelincuencia que implementan Cobalt Strike (incluidos los indicadores de compromiso).

Hilo de ransomware

«Hemos visto una correlación entre el aumento del uso de Cobalt Strike (por parte de los adversarios) y un aumento del ransomware. No estamos diciendo que Cobalt Strike esté alimentando» el ransomware, dice Hoffman. Es más que el ransomware se elimina en las últimas etapas de una cadena de ataque. «Antes de llegar al ransomware, los atacantes primero tienen que implementar algo como esto (Cobalt Strike)». Por lo tanto, detectar esa actividad antes de que se instale el ransomware puede ahorrarle muchos dolores de cabeza.

Hablando de ransomware, los datos de búsqueda de amenazas e infrarrojos de Sophos encontraron ransomware en más del 80% de los incidentes que investigaron. «El ransomware es ruidoso, necesita llamar la atención», razón por la cual esos casos fueron marcados para una investigación, dice Shier de Sophos. «(En) muchos de los ataques que detuvimos, notamos que también había actividad Cobalt Strike», dice.

Los investigadores de Red Canary también han detectado a atacantes con Cobalt Strike en ataques dirigidos, incluido el robo de tarjetas de pago y campañas de ransomware. Describieron incidentes en los que los atacantes que usaban el malware Bazar usaban cargas útiles de Cobalt Strike antes de lanzar el ransomware Ryuk a la víctima, todo dentro de un período de dos horas.

«Cobalt Strike es tan común y confiable que los adversarios crean sus propias herramientas personalizadas para implementar simplemente las cargas útiles, sabiendo que probablemente tendrán éxito si pueden pasar la carga útil más allá de los controles de seguridad. Esta capacidad demuestra cómo Cobalt Strike encaja en el modelo de amenazas para casi cualquier organización «, según Informe de Crimson Canary, que incluye detalles sobre las formas de detectar la actividad maliciosa de Cobalt Strike.

Kelly Jackson Higgins es la editora ejecutiva de Dark Reading. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Network Computing, Secure Enterprise … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial