CIBERSEGURIDAD

Los desafíos de la toma de huellas dactilares del servidor Cobalt Strike.

El uso indebido de herramientas de seguridad legítimas por parte de delincuentes y actores patrocinados por el estado ha sido un dilema durante casi dos décadas. El software de prueba de penetración y los marcos de trabajo en equipo rojo se crearon con el propósito de probar las defensas de las redes empresariales, pero eso no ha impedido que individuos y colectivos con intenciones maliciosas pirateen o pirateen estas herramientas y las usen con fines nefastos.

Cobalt Strike es una de esas herramientas de la que se abusa ampliamente, y si su organización no se ha comprometido con una empresa de pruebas de penetración o de equipos rojos, es crucial que los especialistas en seguridad de redes aprendan a detectar el tráfico potencialmente ilícito y comprendan los pasos que siguen los actores de las amenazas. tomando para omitir la detección.

Una cosa es segura: hay más de una forma de despellejar a este gato.

Identificar el impacto de cobalto en el imperativo de un defensor

Cobalt Strike fue construido y distribuido por Strategic Cyber ​​LLC de Washington, DC, fundada en 2012 por Raphael Mudge. La plataforma fue construida para equipos rojos y les permite simular las acciones de los adversarios. La herramienta se puede utilizar, por ejemplo, para identificar vulnerabilidades presentes en los recursos de la red, lanzar ataques que exploten esas fallas y emitir más comandos. Claramente en manos de alguien con malas intenciones, Cobalt Strike, como Metasploit, Mimikatz y muchas otras herramientas de prueba, puede ser un implemento peligroso.

Strategic Cyber ​​LLC trata de abordar el riesgo limitando la distribución de Cobalt Strike a los equipos de seguridad que solo participan en pruebas éticas o en equipos rojos. La compañía dice que analiza y realiza una evaluación de riesgos en todas las solicitudes de prueba y ventas, degrada la funcionalidad en las distribuciones de prueba y agrega identificadores a los productos con licencia para identificar a los usuarios.

Sin embargo, los actores de amenazas decididos suelen encontrar la manera. Las versiones pirateadas o pirateadas de Cobalt Strike están en la naturaleza y apuntan a organizaciones, por lo que es imperativo que los defensores rastreen y detecten este tipo de actividad dentro de su red.

Hay muchos medios para identificar el tráfico del servidor del equipo Cobalt Strike, que controla lo que se conoce como Beacon o carga útil. La baliza se comunicará con el servidor del equipo a través de búsquedas de solicitudes de DNS. La respuesta de DNS le indicará a la baliza cómo y cuándo descargar comandos adicionales del servidor del equipo.

El comportamiento de su Beacon se puede personalizar utilizando los perfiles Malleable C2 (comando y control) de Cobalt Strike, que permiten a los usuarios cambiar sus indicadores de red y emular las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas en la naturaleza. Hay varios métodos para identificar los servidores de Cobalt Strike, muchos de los cuales han sido documentados públicamente por investigadores y proveedores, incluido Strategic Cyber ​​LLC. La mayoría de estos métodos emplean técnicas de huellas dactilares del servidor basadas en la configuración predeterminada de Cobalt Strike, que se puede cambiar fácilmente utilizando un perfil C2 maleable.

El poder de los perfiles C2 maleables

Los servidores de Cobalt Strike vienen preconfigurados con varias configuraciones predeterminadas que, si no se modifican, se pueden usar para identificarlos y tomar sus huellas digitales. Es importante tener en cuenta que la funcionalidad de los perfiles maleable C2 de Cobalt Strike hace que sea relativamente fácil cambiar estas configuraciones predeterminadas, por lo que no están presentes en cada servidor Cobalt Strike y, por lo tanto, no se pueden usar para identificar o tomar huellas digitales.

Los investigadores utilizaron una de esas configuraciones, un espacio extraño en un encabezado de respuesta HTTP, durante 18 meses para identificar los servidores del equipo Cobalt Strike. Strategic Cyber ​​LLC eliminó el espacio en la versión 3.13 de Cobalt Strike en enero y ya no se puede usar para identificar los servidores del equipo.

Esto también demuestra el poder de los perfiles maleable C2 de Cobalt Strike, que permiten a los usuarios transformar datos, almacenarlos en una transacción y también extraer y recuperar datos de transacciones, según Strategic Cyber ​​LLC. Los actores de amenazas pueden usarlos fácilmente para evitar la detección y hacer que un servidor de equipo sea difícil de identificar. Por ejemplo, podrían usar un perfil C2 maleable para cambiar los encabezados de respuesta HTTP predeterminados para cambiar los parámetros del servidor, o reemplazar los certificados TLS / SSL predeterminados o cambiar los puertos del administrador.

Evaluación

Dada la prevalencia y popularidad de Cobalt Strike con fines legítimos y maliciosos, es fundamental poder identificar tantos servidores Cobalt Strike como sea posible. Aunque hay varios métodos bien documentados para identificar estos servidores, la mayoría se basa en la toma de huellas digitales del servidor según la configuración predeterminada de Cobalt Strike, que se puede cambiar fácilmente. Ningún método único para identificar los servidores de Cobalt Strike es infalible.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar