مرکز آپا دانشگاه کردستان

نقض جدید در Cobalt Strike و اجازه حذف سرور مهاجم

محققان امنیتی آسیب‌پذیری‌های جدیدی از نوع DoS با نام Cobalt Strike را کشف کرده‌اند که امکان مسدود کردن کانال‌های ارتباطی C&C و استقرارهای جدید beacon را فراهم می کند. Cobalt Strike یک ابزار تست نفوذ قانونی است که برای استفاده به عنوان چارچوب حمله توسط تیم های قرمز طراحی شده است (گروهی از متخصصان امنیتی که به عنوان مهاجمان در زیرساخت های سازمان خود عمل می کنند تا شکاف ها و آسیب پذیری های امنیتی را کشف کنند). با این حال، Cobalt Strike همچنین توسط عوامل تهدید (معمولاً در حملات باج افزار استفاده می شود) برای فعالیت‌های پس‌ازنفوذ پس از استقرار به اصطلاح beacon، که دسترسی مداوم از راه دور به دستگاه های آسیب دیده را برای آن ها فراهم می کند، استفاده می شود. با استفاده از این beaconها، مهاجمان می توانند بعداً به سرورهای نشت یافته دسترسی پیدا کنند تا داده ها را جمع آوری کرده یا پی لودهای بدافزار مرحله دوم را مستقر کنند. اهداف زیرساخت های مهاجمان SentinelLabs (تیم تحقیق تهدید در SentinelOne) متوجه شد که آسیب پذیری های DoS به طور کلی با شناسه CVE-2021-36798 (و با نام Hotcobalt) در آخرین نسخه های سرور Cobalt Strike ردیابی شده است. همانطور که آن ها کشف کردند، می توان beaconهای جعلی را با سرور یک نصب ویژه Cobalt Strike ثبت کرد. با ارسال درخواست‌های جعلی به سرور، می توان سرور را خراب کرد. این خرابی می تواند باعث شود beaconهای نصب شده از قبل قادر به برقراری ارتباط با سرور C&C نباشند، مانع از نصب beaconهای جدید بر روی سیستم های نفوذی شده و در عملیات جاری تیم قرمز (یا مخرب) که از beaconهای مستقر استفاده می کردند، تداخل ایجاد کند. SentinelLabs می گوید: "این باعث می شود که یک عامل مخرب باعث شود که سرور Cobalt (" Teamserver ") روی آن کار می کند، که باعث می شود سرور تا زمان راه اندازی مجدد پاسخگو نباشد." "این بدان معناست که beaconهای روشن نمی توانند با C&C خود ارتباط برقرار کنند تا اینکه اپراتورها سرور را راه اندازی مجدد کنند. با این حال، راه اندازی مجدد برای دفاع در برابر این آسیب پذیری کافی نخواهد بود، زیرا ممکن است تا زمانی که سرور وصله نشود یا پیکربندی beacon به طور مکرر سرور را هدف قرار دهد، تغییر کرد." از آنجا که Cobalt Strike نیز به شدت توسط عوامل تهدید برای اهداف مختلف مورد استفاده قرار می گیرد، مجریان قانون و محققان امنیتی همچنین می توانند آسیب پذیری های Hotcobalt را برای از بین بردن زیرساخت های مخرب به کار گیرند. در 20 آوریل، SentinelLabs این آسیب پذیری ها را برای شرکت Helpal Systems، CobaltStrike فاش کرد، که آن ها را در Cobalt Strike 4.4، که اوایل امروز منتشر شد، برطرف کرد. این اولین آسیب پذیری نیست که بر CobaltStrike تأثیر می گذارد، زیرا HelpSystems در سال 2016 آسیب پذیری دیگری را در سرور تیم وصله کرده و منجر به حملات اجرای کد از راه دور شده بود. در نوامبر 2020، BleepingComputer همچنین گزارش داد که سورس کد جعبه ابزار پس‌ازانفوذ Cobalt Strike، در مخزن GitHub نشت کرده است. تهیه و تدوین: تینا احمدی