瞄準(zhǔn)Linux系統(tǒng)!攻擊者改造滲透測(cè)試工具Cobalt Strike兼容Linux信標(biāo)
責(zé)編:gltian |2021-09-18 14:43:309月13日,安全研究人員發(fā)現(xiàn)了一個(gè)由未知黑客組織制作的Cobalt Strike Beacon Linux版本,以在全球范圍內(nèi)擴(kuò)大目標(biāo)攻擊。這些攻擊針對(duì)的是電信公司、政府機(jī)構(gòu)、IT公司、金融機(jī)構(gòu)和咨詢公司。
代號(hào)為Vermilion的威脅行為者修改了Cobalt Strike的一個(gè)版本 ,Cobalt Strike是一種合法的滲透測(cè)試工具,被用作紅隊(duì)的攻擊框架。
Cobalt Strike還被威脅行為者(通常在勒索軟件攻擊中刪除)用于部署所謂的信標(biāo)后的后利用任務(wù),這些信標(biāo)提供對(duì)受感染設(shè)備的持久遠(yuǎn)程訪問。使用信標(biāo),攻擊者可以晚些訪問被破壞的服務(wù)器以收集數(shù)據(jù)或部署更多的惡意軟件負(fù)載。
雖然開發(fā)該工具是為了幫助安全公司進(jìn)行滲透測(cè)試,模擬威脅參與者使用的技術(shù),但該工具的高級(jí)功能也使其成為網(wǎng)絡(luò)犯罪組織的最愛。
隨著時(shí)間的推移,Cobalt Strike的破解副本已被威脅行為者獲取并共享,成為數(shù)據(jù)盜竊和勒索軟件的網(wǎng)絡(luò)攻擊中最常用的工具之一。但此前Cobalt Strike 一直有一個(gè)弱點(diǎn),它只支持Windows設(shè)備,不包括Linux信標(biāo)。
Cobalt Strike Beacon移植到Linux
在安全公司Intezer的一份新報(bào)告中,研究人員解釋了威脅行為者如何自行創(chuàng)建與 Cobalt Strike兼容的Linux信標(biāo)。使用這些信標(biāo),攻擊者現(xiàn)在可以在Windows和Linux機(jī)器上獲得持久性和遠(yuǎn)程命令執(zhí)行。
研究人員表示,為了避免惡意軟件被檢測(cè)到,Vermilion組織開發(fā)了Vermilion Strike,這是Cobalt Strike Beacon后門的獨(dú)一無(wú)二的Linux版本。此外,該組織還重新編寫了Beacon后門的原始Windows 版本,目前完全未被殺毒軟件檢測(cè)到。
Vermilion Strike帶有與官方Windows 信標(biāo)相同的配置格式,可以與所有Cobalt Strike 服務(wù)器對(duì)話,但不使用任何Cobalt Strike的代碼。
這種新的Linux惡意軟件還具有技術(shù)上的重疊(相同的功能和命令和控制服務(wù)器),Windows DLL文件提示同一個(gè)開發(fā)人員。
Intezer說:“隱形樣本在與C2服務(wù)器通信時(shí)使用了Cobalt Strike的命令和控制(C2)協(xié)議,并具有遠(yuǎn)程訪問功能,如上傳文件、運(yùn)行shell命令和寫入文件。”
在發(fā)文時(shí),病毒查殺工具中完全沒有檢測(cè)到該惡意軟件,該惡意軟件是從馬來西亞上傳的。
Vermilion Strike一旦部署在受感染的Linux系統(tǒng)上就可以執(zhí)行以下任務(wù):
更改工作目錄
獲取當(dāng)前工作目錄
附加/寫入文件
上傳文件到C2
通過 popen 執(zhí)行命令
獲取磁盤分區(qū)
列出文件
自8月以來部署在持續(xù)攻擊中
通過數(shù)據(jù)監(jiān)測(cè),Intezer還發(fā)現(xiàn)自2021年8月以來,來自全球電信公司和政府機(jī)構(gòu)、IT 公司、金融機(jī)構(gòu)和咨詢公司等各個(gè)行業(yè)的多個(gè)組織成為使用Vermilion Strike目標(biāo)。
還值得一提的是,Vermilion Strike并不是唯一一個(gè)將Cobalt Strike的Beacon移植到Linux的端口,它使用了geacon,一個(gè)基于go的開源實(shí)現(xiàn),在過去的兩年中已經(jīng)公開。
然而,這是第一個(gè)用于真正攻擊的Linux實(shí)現(xiàn)。目前沒有關(guān)于攻擊者用來針對(duì)Linux系統(tǒng)的初始攻擊向量的信息。但通過對(duì)其復(fù)雜性和活動(dòng)意圖以及該代碼從未在其他攻擊中出現(xiàn)這些情況進(jìn)行分析,這種惡意軟件是由熟練的威脅行為者開發(fā)的。
通過對(duì)勒索事件的分析可以發(fā)現(xiàn),這些勒索軟件不但一直在更新技術(shù)能力,而且對(duì)實(shí)體造成的破壞嚴(yán)重超出公眾認(rèn)知,每個(gè)行業(yè)對(duì)于勒索軟件攻擊都不應(yīng)存在僥幸心理。
參讀鏈接:
來源:FreeBuf.COM
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧