Утекли исходные коды Cobalt Strike: что это такое и почему он является мощным оружием в плохих руках

Утекли исходные коды Cobalt Strike: что это такое и почему он является мощным оружием в плохих руках

Чем опасен один из самых мощных фреймворков для тестирования на проникновение.

С 2012 года Cobalt Strike используется как инструмент тестирования сетевой безопасности от сложных тактик злоумышленников. К сожалению, как и большинство других инструментов и знаний, предназначенных для обеспечения безопасности, Cobalt Strike также широко используется и злоумышленниками.  

Цель этого инструмента состоит в том, чтобы имитировать наиболее продвинутых хакеров и их методы, для проверки безопасности системы. Именно поэтому он широко полюбился злоумышленниками: от правительственных APT-группировок до операторов шифровальщиков.

Если вкратце, то эта мощная платформа для сетевых атак, которая сочетает в себе социальную инженерию, инструменты несанкционированного доступа, обфускацию сетевых шаблонов и сложный механизм развертывания вредоносного кода и многое другое.

Очередная утечка

Двенадцать дней назад на GitHub был создан репозиторий, который, похоже, является исходным кодом Cobalt Strike 4.0, об этом сообщает издание BleepingComputer.

Основываясь на файле src/main/resources/about.html, можно сказать, что эта версия Cobalt Strike 4.0, была выпущена 5 декабря 2019 года.

Как видно на скриншоте исходного кода ниже, проверка лицензии была закомментирована, что по сути позволяет любому скомпилировать ее полноценную версию.


Специалист по безопасности Виталий Кремез из Advanced Intel, изучавший исходный код, сказал, что, по его мнению, код Java был декомпилирован вручную. Затем человек исправил все зависимости и удалил проверку лицензии, чтобы ее можно было скомпилировать.

С момента публикации репозиторий был разветвлен 172 раза, что затрудняет сдерживание распространения исходного кода.

Что такое Cobalt Strike?

Cobalt Strike - это коммерческий инструмент для тестирования на проникновение, который дает специалистам по безопасности доступ к большому разнообразию атак.

В первую очередь он позволяет доставить на атакуемый компьютер полезную нагрузку и управлять ею, но помимо этого Cobalt Strike может использоваться для целевого фишинга, получения несанкционированного доступа к системам, а также может имитировать различные вредоносные программы и другие сложные тактики атак.

Это полностью законный инструмент, используемый этичными хакерами, стоимость которого составляет 3500 долларов за пользователя. Однако, он также широко используется злоумышленниками для проведения реальных атак на организации. Некоторые злоумышленники получают пробную версию Cobalt Strike и взламывают ее программную защиту, в то время как другие находят слитые взломанные версии на хакерских форумах и теневых площадках.

Cobalt Strike - швейцарский нож для хакера

Cobalt Strike - фаворит, потому что он стабилен и очень гибок. Его можно перепрофилировать для развертывания всех видов полезной нагрузки, например программ-вымогателей или клавиатурных шпионов, в скомпрометированной сети. Он хорошо организован и предоставляет основу для управления скомпрометированными активами. По сути, этот инструмент помогает хакерам уровня B действовать как хакеры уровня А.

Cobalt Strike предоставляет следующие возможности:

  • Разведка - обнаруживает, какое программное обеспечение использует цель, с информацией о версии для определения известных уязвимостей.
  • Пакеты атак - предоставляет различные механизмы атак с использованием социальной инженерии, создает трояны, представляющие собой невинные файлы, такие как Java-апплеты, документы Microsoft Office или программы для Windows, а также создает клоны веб-сайтов.
  • Совместная работа — фреймворк позволяет хакерской группировке обмениваться информацией и общаться в режиме реального времени, а также совместно контролировать скомпрометированные системы.
  • Пост-эксплуатация - Cobalt Strike использует механизм генерации полезной нагрузки, называемый Beacon. Он позволяет развертывать сценарии PowerShell, регистрировать нажатия клавиш, делать снимки экрана, загружать файлы и выполнять другую полезную нагрузку. Beacon может изменять свою сетевую подпись, чтобы имитировать поведение различных типов вредоносных программ или выдавать себя за безобидный трафик.
  • Скрытое общение - позволяет злоумышленникам изменять сетевые индикаторы на лету. Инструмент создает скрытые каналы с использованием протоколов DNS, HTTP, HTTPS для предотвращения обнаружения сетевого взаимодействия с помощью стандартных систем IDS/IPS.
  • Переброс браузера - можно использовать для обхода двухфакторной аутентификации.

Взлом банкоматов с помощью Cobalt Strike

Для иллюстрации возможностей данного инструмента приведем пример атаки из расследования компании Group-IB.

В июле 2016 года, работа одного из крупнейших банков Тайваня, была парализована. Банк столкнулся с масштабной атакой: люди в масках одновременно опустошили около 3о банкоматов на сумму в 2 миллиона долларов. Полиция терялась в догадках: на корпусах банкоматов не было ни следов взлома, ни накладных устройств — скиммеров. Злоумышленники даже не использовали банковские карты.

К счастью, все происходящее зафиксировали камеры наблюдения: люди в масках подходили к банкоматам и звонили по телефону, после чего банкомат без лишних слов выдавал деньги, которые преступники складывали в рюкзаки и убегали. После этого восьми крупнейшим банкам страны пришлось приостановить выдачу наличных в 900 банкоматах.

То, с чем столкнулся банк, называется логической атакой. Ее суть в том, что хакеры проникают в банковскую сеть через рассылку фишинговых писем с эксплойтом и проникнув в нее устанавливают полный контроль над банкоматами. После этого они воспроизводят команду на выдачу денег. Сообщники взломщиков — забирают деньги и передают их организаторам атаки.

Инструментом хакеров был именно Cobalt Strike.

Почему Cobalt Strike мощное оружие в руках хакеров?

Несмотря на то, в утечке оказался не оригинальный исходный код, этого достаточно, чтобы серьезно обеспокоить специалистов по безопасности, поскольку устраняет барьеры на пути к получению столь мощного инструмента и существенно облегчает преступным группировкам приобретение и изменение кода по мере необходимости на лету.

Утечка также открывает двери для дополнительного усовершенствования инструментария преступниками, как это происходит со многими вредоносными инструментами после утечек, таких как например Zeus 2.0.8.9 или TinyNuke, поскольку теперь они постоянно повторно используются и обновляются.

BleepingComputer попытались связаться с Cobalt Strike и их материнской компанией Help Systems, чтобы подтвердить подлинность исходного кода, но не получили ответа.

Это не первый раз, когда злоумышленникам удалось взломать полнофункциональные версии Cobalt Strike и сделать их широко доступными на торговых площадках и форумах темной сети. Например, еще 22 марта этого года последняя версия инструмента была взломана и выложена на хакерских форумах.


Изображение на обложке: Anthony Shkraba via Pexels

Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей приватности и безопасности в интернете.






Great! Next, complete checkout for full access to Эксплойт
Welcome back! You've successfully signed in
You've successfully subscribed to Эксплойт
Success! Your account is fully activated, you now have access to all content
Success! Your billing info has been updated
Your billing was not updated