0
0
Sistemas antivírus comuns frequentemente perdem o Cobalt Strike, um kit de ferramentas de emulação de ameaças furtivas admirado por equipes vermelhas e atacantes.
Desde sua introdução, o Cobalt Strike tornou-se um dos pacotes de software de emulação de ameaças mais prevalentes usados pelas equipes vermelhas do Infosec. Infelizmente, sua combinação de múltiplas técnicas de exploração também faz do Cobalt Strike uma plataforma de escolha dos atacantes.
Nos últimos meses, vimos o Ataque de Cobalt usado em múltiplas façanhas. No ataque do ransomware WastedLocker,um grupo avançado de ameaça persistente (APT) usou o Cobalt Strike para se mover lateralmente dentro de uma rede. Grupos APT também usaram o Cobalt Strike na campanha de malware com temática militar para atingir organizações militares e governamentais no sul da Ásia.
Sistemas antivírus comuns (AV), que se concentram em dados de segurança, muitas vezes perdem o Cobalt Strike. A plataforma usa inúmeras técnicas para evitar a detecção. Além disso, o Cobalt Strike pode ser mesclado com outras ferramentas de ataque como Mimikatz, Metasploit e PowerShell Empire para se mover lateralmente através da rede.
Mas há uma boa notícia para os profissionais de segurança: o Cobalt Strike tem marcadores de rede muito distintos. Você pode usar esses mercados para detectar Cobalt Strike em sua rede.
O que há de tão difícil em detectar ataque Cobalt?
O Cobalt Strike implementa duas técnicas principais para evitar a detecção pelos sistemas AV tradicionais. Ele 1) ofusca o shellcode e 2) aproveita uma linguagem específica de domínio chamada Comando e Controle Maleável (Maleeable C2). Vamos olhar para cada um.
Técnica #1
Sistemas AV hoje comumente implementam sandboxing para detectar executáveis. O sandboxing fornece um ambiente separado para executar e inspecionar executáveis suspeitos. Cobalt Strike, porém, esconde o código de conchas sobre um cano chamado. Se a caixa de areia não emular tubos nomeados, não encontrará o código de conchas malicioso. Além disso, o atacante pode modificar e construir suas próprias técnicas com o Cobalt Strike Artifact Kit.
Técnica #2
No pós-exploração, o Cobalt Strike imita serviços populares, como Gmail, Bing e Pandora, para evitar a detecção. A plataforma usa o Malleable C2, que fornece aos atacantes a capacidade de modificar o tráfego de comando e controle cobalto (C2) à sua vontade. O invasor pode então identificar aplicativos legítimos dentro da organização-alvo, como o tráfego da Amazon, e modificar o tráfego C2 para aparecer como tráfego da Amazon usando qualquer número de perfis disponíveis publicamente, como este para a Amazon no GitHub.
Na captura de tela abaixo (Figura 1) você pode ver o perfil Cobalt Strike que falsifica os cabeçalhos de vídeo da CNN URI e HTTP como “Host”, “Referer” e “X-requested-With” para que a solicitação HTTP pareça um pedido para o vídeo da CNN.
Indicadores de rede para detectar ataque de cobalto
Para identificar a Greve do Cobalt, examine o tráfego de rede. Como os perfis padrão do Cobalt Strike evitam soluções de segurança fingindo tráfego HTTPS, você precisa usar a Inspeção TLS. Em seguida, isole o tráfego do bot e, uma vez feito, identifique o tráfego suspeito examinando dados dentro de solicitações HTTPS.
Examine as comunicações de rede
Para distinguir o tráfego gerado pelo homem do tráfego gerado por bots, examinamos a frequência das comunicações para um alvo. O tráfego gerado por bots tende a ser consistente e uniforme, como você pode ver abaixo no gráfico de frequência de fluxo. O tráfego gerado pelo homem tende a variar ao longo do tempo, enquanto o tráfego gerado por máquina tende a ser quase uniformemente distribuído.
Só porque o tráfego é gerado por um bot não o torna malicioso, no entanto. Existem inúmeros bons bots, como os updaters do SISTEMA OPERACIONAL. Você precisa identificar bots susceptivelmente suspeitos, e você pode fazer isso cavando no fluxo de tráfego.
Examine o Agente do Usuário
Olhando para a origem do tráfego do bot, inspecionamos o agente do usuário que gera o tráfego TLS. A princípio, o agente de usuário parece legítimo, supostamente gerado pela Mozilla/5.0 (Windows NT 6.1), o valor para o Internet Explorer (IE).
No entanto, os agentes de usuário podem ser facilmente falsificados. Alguns algoritmos de aprendizado de máquina derivam o verdadeiro agente de usuário de fluxos de pacotes e, neste caso, o sinalizaram como “não identificado”. A discrepância nos dá um forte indicador de que provavelmente estamos olhando para tráfego malicioso.
Examine o Destino
Seguinte, examinamos o domínio de destino – dukeid[.] com. Para muitos, este ponto será menos conclusivo. De acordo com o VirusTotal, podemos ver que menos de 10% dos motores 83 AV (sete a ser exato) marcaram este domínio como malicioso. No entanto, os modelos de reputação de fornecedores classificaram como dukeid.com como maliciosos, dando-nos outro Indicador de Compromisso (IoC) ou artefato de rede provavelmente indicando uma intrusão.
Examine o cabeçalho do host
Avançamos mais fundo no pacote e examinamos o cabeçalho do host HTTP, que neste caso foi www.amazon.com. No entanto, o tráfego foi direcionado para o domínio, “dukeid[.] com”. Isso nos dá outra poderosa evidência de que estamos olhando para o Cobalt Strike como falsificação de cabeçalho anfitrião faz parte do Perfil Amazon da Cobalt Strike.
Examine o URI
Finalmente, examinamos o identificador de recursos uniformes de destino (URI) do fluxo. Vemos que o URI corresponde a um associado ao Cobalt Strike Malleable C2:
/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
Sozinho, bloquear o URI não será eficaz. É uma URI amazônica falsa e bloqueá-la também bloquearia o tráfego para URIs legítimos da Amazon. Daí a necessidade de proceder através das etapas descritas acima.
O módulo Maleeable C2 em Cobalt Strike é uma ferramenta avançada que permite aos atacantes personalizar o tráfego de farol e criar comunicações secretas. Os sistemas AV podem não ser suficientes para proteger uma rede. Mesmo após a ameaça ter sido identificada e o cliente notificado, seus sistemas AV ainda não conseguiram detectar e remover a ameaça. O foco nas características da rede do malware, no entanto, permitiu que a ameaça fosse identificada. É um excelente exemplo de como a combinação de informações de rede e segurança pode levar a uma melhor detecção de ameaças.
FONTE: DARK READING