Insiktレポート

Rogue Cobalt Strikeサーバーを特定するためのマルチメソッドアプローチ

投稿: 2019年6月18日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

Recorded Futureは、いくつかのCobalt Strikeサーバー検出方法が公に特定されたことを受けて、Cobalt Strikeサーバーの変更を評価しました。 私たちの分析では、さまざまな方法論の評価を行い、それらに基づいて複合分析を行い、ユーザーが検出を回避するために構成を変更したかどうかを判断しました。 ソースには、Recorded Future® Platform、BinaryEdge、Censys、Rapid7 LabのOpenData、Shodan、GreyNoise、ReversingLabs、VirusTotal、Farsight DNS、およびその他のオープンソースが含まれます。 このレポートは、応答時間の短縮を目指す組織や、Cobalt Strike のインシデントに定期的に対処しているアナリストにとって、最も興味深いものとなるでしょう。

Executive Summary

Cobalt Strikeは、高度な敵対者による標的型攻撃やエクスプロイト後のアクションをエミュレートするために、セキュリティ専門家が使用するために開発されたエクスプロイトプラットフォームです。 このツールは、ワシントンDCに拠点を置く企業であるStrategic Cyber LLCによって開発およびライセンス供与されており、同社による違法な使用が監視されており、輸出規制の対象となっています。 それにもかかわらず、Cobalt Strikeフレームワークは、Metasploit Pro、Core Impactなどの他の有料スイートを含むこのタイプのさまざまなソフトウェアの間で人気のあるオプションになっています。 このようなプラットフォームの中で、ライセンスのないユーザーや犯罪者によって使用されているのはCobalt Strikeだけではありませんが、このツールを初期に悪用するために使用した APT32や、フレームワークに大きく依存している同名のCobalt Groupなど、さまざまな脅威グループによって使用されています。

セキュリティテスター、そしてさらに重要なことに、悪意のある攻撃者がCobalt Strikeプラットフォームを頻繁に使用していることを考えると、Cobalt Strikeサーバーと企業ネットワーク資産への接続を認識する必要性は明らかです。

検出方法が公開されているにもかかわらず、Recorded Futureは、Cobalt Strikeサーバーがほとんどパッチが適用されていないため、フィンガープリントとその後の検出が可能になっていることを確認しています。 この方法論を他の検出と組み合わせることで、Recorded Futureは、野生で見つかったCobalt Strikeサーバーをサンプリングし、フィンガープリント方法を比較することで、防御側がこのフレームワークを最適に追跡および監視できるようにしました。 Cobalt Strike サーバーの追跡は、ブルーチームがレッドチームのアクティビティを検出し、Cobalt Strike チームサーバーを変更していない敵からのアクティビティを封じ込めるのに役立ちます。

主な判断

  • Cobalt Strikeのサーバーは、特定のフィンガープリント方法をより困難にするためのパッチが適用されているにもかかわらず、かなり露出しており、比較的簡単に検出できます。 パッチがリリースされる前に動作していた多くのCobalt Strikeサーバーはシステムを更新していませんが、新しい展開ではアップグレードされたソフトウェアが使用されています。

  • 最近デプロイされた Cobalt Strike サーバーは、更新された Cobalt Strike バージョン (3.12 以降) をデプロイする可能性が高く、デフォルトの TLS 証明書を引き続き使用し、信頼性の高い検出メカニズムを維持しています。

  • Recorded Futureが現在のCobalt Strikeサーバーをサンプリングしたところ、過去の脅威活動とは対照的に、犯罪者と国家関係者は、おそらく他のCobalt Strikeサーバーと調和するために、または単にデフォルト設定が変更なしでうまく機能し、オペレーターが何も変更する必要性を感じていないため、パッチが適用されていないデフォルトのCobalt Strike構成を使用していることがわかりました。

  • Cobalt Strikeサーバーの検出は、防御者がエンタープライズネットワークでアラートを作成するのに役立ち、レッドチーム、犯罪活動、または国家が支援する敵対者に先んじるための積極的な手段を提供します。

背景

A primary issue for incident response and security operations analysts today is determining which security events or alerts are a priority to review. Fortunately, applying accurate threat intelligence to a SIEM workflow, such as Splunk, can be valuable for identifying credible threats, and can even reveal crucial additional context to enable security teams to take more proactive measures. For example, an alert comes across your SIEM — it’s an IP address, 89.105.198[.]28, that has been contacted by one of your endpoints. Now what?

cobalt-strike-servers-1-1.png

記録された将来のブラウザ拡張機能。

Upon opening the Recorded Future browser extension on the Splunk alerts page, the IP 89.105.198[.]28 jumps to the top with a risk score of 93 (this finding was made on May 6, 2019, and the risk score will decay on May 17, 2019 if no further malicious activity is observed). This investigation reveals that the IP address was previously reported by Sophos as part of the MegaCortex ransomware campaign, using a Cobalt Strike reverse shell.

Cobalt Strike は、Strategic Cyber LLCの創設者であるRaphael Mudge氏がペネトレーションテスター向けに開発した敵対者シミュレーションプラットフォームです。 Metasploit、NMAP、Powershell Empireなどの他のプラットフォームとの相互運用性を考慮して設計されており、最初はMetasploit用にMudgeが開発したグラフィックユーザーインターフェイス(GUI)であるArmitageを使用して実行できます。 ArmitageとCobalt Strikeは、情報の共有と、適切に調整されたアクションを指示および実行する能力を可能にするチームサーバーを中心に設計されています。

その高度な機能で知られるCobalt Strikeは、多くの セキュリティ専門家 に採用され、犯罪者や 国家 組織によっても違法に使用されています。 MITREが述べているように、「Cobalt Strikeのインタラクティブなポストエクスプロイト機能は、ATT&CKのあらゆる戦術をカバーし、すべてが単一の統合システム内で実行されます」。このフレームワークは、過去3年間、脅威の状況における主力であり、犯罪グループ、国家が支援する攻撃者、そしてもちろん侵入テストチームによって頻繁に使用されてきました。

cobalt-strike-servers-2-1-1024x640.png (Cobalt Strikeの使用状況の推移。(出典 : Recorded Future))

Cobalt Strikeは専門的に保守されており、現在、ライセンスに基づいて3,500米ドルの料金で利用でき、毎年更新されています。 米国が設定した輸出規制に加えて、Strategic Cyber LLCは、正当なセキュリティ専門家へのライセンスと使用を厳密に管理し、ソフトウェアを悪意のある攻撃者の手に渡らないようにしようとしています。

Strategic Cyber LLCは、ソフトウェアのライセンス版を定期的に更新し、パッチを適用しています。 Cobalt Strikeのサーバー構成に対する最近の変更は、フレームワークが検出を回避するのを助ける試みです。 ただし、ソフトウェアの海賊版には、公式のアップデートやパッチは適用されません。

ソフトウェアのライセンスは厳しく管理されていますが、Cobalt Strikeの 海賊版 が出回っている例が確認されており、多くの場合、クラックされた試用版があり、犯罪者の地下のさまざまなアクターがそれらを取得または取引しようとしていることが観察されています。ただし、クラックされたバージョンには、バックドアなどの独自の「機能」が追加されている場合や、何らかの形で欠落がある場合があります。2019年4月5日、Raid Forumsのメンバーの1人がCobalt Strike 3.13(最新バージョン)のクラックされたコピーへのリンクを投稿しましたが、他のメンバーは、一部の機能が欠落しており、EICARなど削除されるべきソフトウェアの一部が残っていると指摘しました。したがって、Cobalt Strikeの正規版には価値があります。例えば、Mazaフォーラムのメンバーの一人が昨年、米国内の購入者に対して25,000米ドルを提供し、Cobalt Strikeのライセンスコピーを取得し、それをこのフォーラムメンバーに違法に送金したことが確認されました。

Returning to our investigation of 89.105.198[.]28, this IP address was used as a command-and-control server for a Cobalt Strike reverse shell on a victim domain controller during a MegaCortex incident. The ransomware was then distributed across the environment via PSExec. The MegaCortex ransomware campaign was active at the time of this analysis. Further investigation of the IP address reveals that it makes use of the Cobalt Strike server default security certificate to encrypt traffic.

This case involving 89.105.198[.]28 prompted Recorded Future to investigate this specific Cobalt Strike activity. This further encouraged larger-scale Cobalt Strike research, in the wake of security firm Fox-IT’s findings around the anomalous space included in Cobalt Strike HTTP responses and other public detections, including common use of the standard, pre-configured, self-signed SSL/TLS certificate on Cobalt Strike servers. Servers that deploy this certificate can be detected via Shodan or Censys by the SHA256 hash or the serial number of the certificate.

cobalt-strike-servers-3-1.png

デフォルトの Cobalt Strike SSL/TLS 証明書。

Cobalt Strike Team サーバーを特定するための公開方法論

2019年2月19日、Strategic Cyber LLC(Cobalt Strikeのプロデューサー)は、「Cobalt Strike Team Server Population Study」の結果を発表しました。 この調査は、発見されたCobalt Strikeソフトウェアのライセンスステータスを発見し、現在使用されているソフトウェアのバージョンに加えられた重要な変更を特定して分析するために部分的に行われました。

この調査では、野生のCobalt Strikeサーバーを特定するために使用できる複数の方法を特定しました。

  • Cobalt Strike サーバーには、管理者が変更しない限り、フィンガープリントに使用できるデフォルトのセキュリティ証明書が付属しています。

  • SHA256 (英語): 87f2085c32b6a2cc709b365f55873e207a9caa10bffecf2fd16d3cf9d94d390c

  • Serial Number: 146473198

  • 有効にすると、Cobalt Strike DNSサーバーは、ボゴン(偽の)IP:0.0.0.0で受信したDNSリクエストに応答します(これはCobalt Strikeサーバーに限ったことではありません)。

  • Cobalt Strike Team Serverのデフォルトのコントローラーポートは50050 / TCPで、他のサーバーで開いているポートが見つかる可能性は低いです。

  • Cobalt Strike の "404 Not Found" HTTP レスポンスは NanoHTTPD ウェブサーバーに固有のもので、検出できます。

全体として見ると、上記のリストの中で最も確実な方法は、デフォルトのセキュリティ証明書を使用してCobalt Strikeサーバーのフィンガープリントを作成することです。 残りの検出方法は確実性が低く、他の方法と比較すると、すべての検出方法の信頼性が高くなります。 たとえば、ポート 50050 を使用し、NanoHTTPD Web サーバーに固有の HTTP 応答も提供するサーバーは、HTTP 応答シグネチャのみを示すことが判明したサーバーよりも Cobalt Strike サーバーである可能性が高くなります。

NanoHTTPDは、オープンソースのWebサーバーフレームワークです。 バージョン 3.12 以前を実行している NanoHTTPD サーバーと Cobalt Strike サーバーは、HTTP レスポンスのヌルスペースで識別でき、"HTTP/1.1" の後には他の Web サーバーレスポンスにはない空白 (0x20) が続きます。 3.13 より前の Cobalt Strike サーバーからの HTTP レスポンスにはこの null スペースが含まれ、HTTP サーバーのレスポンスを取得できるスキャナーを使用してそれらを検索できます。 前述のヌルスペースを特定する簡単な方法は、Cobalt StrikeサーバーへのブラウザのHTTP接続のパケットキャプチャで行うことができ、余分なスペースを簡単に確認できます。

クラックされたバージョンを実行しているCobalt Strikeインスタンスは更新またはパッチが適用されていないため、この方法では、犯罪者が運営するCobalt Strikeサーバーを発見する可能性がさらに高まります。

Strategic Cyber LLCのブログ記事では特に言及されていませんが、Cobalt Strikeのサーバーを特定する別の方法です。 2019年1月2日、Cobalt Strike version 3.13がリリースされました。 Cobalt Strikeのリリースノートには、以前のバージョンからの変更点の1つが「HTTPステータスレスポンスからの無関係なスペース」の削除だったと記載されている。NanoHTTPD サーバー (オープンソースの Java ベースの Web サーバー) の HTTP サーバー応答の余分な null バイトは、2012 年に最初にリリースされ、NanoHTTPD に基づく Cobalt Strike Team Server に影響を与えました。

2019年2月26日にセキュリティ会社Fox-ITが発表したCobalt Strikeサーバー に関する調査 では、バージョン3.13より前のサーバー(HTTPレスポンスのヌルスペースを追加して応答する)を特定する方法の詳細だけでなく、 Rapid7の公開データから見つかったこの検出方法を使用して2015年から2019年にかけて観測されたCobalt Strikeサーバーをホストしている7,000を超えるIPのリストも提供されました。

cobalt-strike-servers-4-2.png

Cobalt Strike サーバーからの HTTP ヘッダーに余分な null スペースを示すパケット キャプチャ。

同様に、2019年2月27日、中国のKnownsecセキュリティ研究チームは、Strategic Cyber LLCが報告したNanoHTTPD 404 Not Found応答の異常とヌルスペースの異常を使用してCobalt Strikeサーバーを特定したことを 詳しく説明したブログ を公開しました。 彼らは、関連付けられたZoomEye検索エンジンプラットフォーム内のデータで見つかったサーバーの数が少なくなりましたが、それでも3,000を超えるサーバーを見つけました。 Knownsecは、Cobalt Strikeが構築されているオープンソースのNanoHPPTDコードが、正確には次のように応答すると報告しています。

HTTP/1.1 404 見つかりません
コンテンツタイプ: text/plain
日付:日、DD Mmm YYYY HH:MM:SS GMT
コンテンツの長さ: 0

Knownsec は、この検出結果に基づいて検出ロジックを作成しました。 しかし、Knownsecはその後、一部のCobalt Strikeシステムからのレスポンスで「date」の後に「content-type」が提示されていることを発見した後、HTTPレスポンス内の順序が実際には異なる可能性があることも観察しました。

Cobalt Serverを検出するための信頼性の高い方法は、詳細なネットワークトラフィックデータにアクセスできる人が利用できます。 3人のSalesforce研究者によって開発されたオープンソースの JA3プロジェクトは、サーバーとクライアント間のTLSネゴシエーションをフィンガープリントすることで、疑わしいHTTPSトラフィックを検出できる。 TLS/SSL バージョン、受け入れられている暗号スイート、楕円曲線の詳細 (楕円曲線のポイント形式など) は、ブラウザがその 1 つのブラウザに固有のバージョン、アドオン、およびその他の機能によってフィンガープリントされるのと同じように、フィンガープリントできます。

JA3 署名はクライアント側用で、JA3S 署名はサーバー用です。 Cobalt Strikeの場合、クライアントビーコン(Windowsソケットを使用して通信を開始する)とKali Linuxオペレーティングシステム上で動作するCobalt Strikeサーバーによって、TLSネゴシエーション用の フィンガープリント が作成されています。 これらのフィンガープリントは、Cobalt Strikeサーバーを確実に検出するために一緒に使用する必要があります。 この検出方法は、Cobalt Strike オペレーターが「リダイレクター」を使用して部分的に軽減できますが、多くの Cobalt Strike サーバーはそのようなプロキシを使用しません。

JA3 および JA3S 署名は、Zeek/Bro や Suricata などのツールで使用できます。 これらのネットワーク検出ツールからのデータは、後でSplunkなどのSIEMに供給できます。 JA3 と JA3S の署名は、 Salesforce の Github アカウント や他の ソースから入手できます。

セキュリティチームや管理者が使用する可能性のあるMetasploit、Powershell、PsExecなどの他のツールの検出と同様に、ネットワーク防御者は、ネットワーク内からCobalt Strikeサーバーへの接続を示す証拠を見つけた場合、検出自体がユーザーの意図を特定するものではないため、デューデリジェンスを行う必要があります。 Cobalt Strikeのサーバーを、認定されたレッドチームのサーバーまたは真の敵対者のサーバーとして識別することは、検出されたトラフィックだけでは不可能な場合があります。

Fox-ITとKnownsecが異常なHTTPレスポンスを公表していると報告してからの変更点

これらの方法で特定されたCobalt Strikeサーバーの数は、2019年2月下旬にStrategic Cyber LLC、Fox-IT、KnownsecがCobalt Strikeサーバーの検出に関する情報を公開した後、減少すると予想していました。 さらに、Cobalt Strikeのオペレーターは、Strategic Cyber LLCの2月の調査で、トラフィックをプロキシするための「リダイレクター」としてApacheまたはNginxのWebサーバーを利用するように奨励されました。これにより、異常なHTTPレスポンス、デフォルトのセキュリティ証明書、およびその他の識別子を方程式から取り除くことにより、Cobalt Strikeサーバーの単純な検出が妨げられます。 正規のライセンス取得済みサーバーをバージョン 3.13 に更新すると、無関係なヌルスペース方式で検出される数が減りますが、Cobalt Strike のオペレーターが広く知られている検出方法を認識しているため、検出可能なサーバーの数が減少することも期待されます。

Insikt Groupは、HTTPレスポンスの異常なヌルスペースを検出するFox-ITの方法論を複製することにより、特定されたサーバーの顕著な減少を確認しました。 2019年2月にRapid7のデータを使用して、388台のCobalt Strikeサーバーが初めて観測されました。 この方法を使用して最初に確認されたCobalt Strikeサーバーの数は、2019年4月にわずか90でした。 ただし、これは話の一部にすぎません。この方法で見える古いCobalt Strikeサーバーの数は減少していますが、それほど大きくはありません。 Rapid7のデータで観測されたサーバーのうち441台は、2019年4月でも稼働していることが観察されており、これは2019年1月に最後に観測された387台よりも多くなっています。

Insikt Group は、Knownsec の調査を分析して異なる HTTP 検出手法で Cobalt Strike を特定することで、同じ ZoomEye 検索エンジンデータで研究を再現しました。 Insikt Groupは、2018年に稼働していたサーバーは1,580台でしたが、2019年5月までには1,053台にとどまったことを確認しました。

cobalt-strike-servers-5-1.png

個々の Cobalt Strike 検出パラメーターの最近のメトリクス。 (2019年1月〜2019年5月)

前述のように、これらの HTTP 検出方法はどちらも NanoHTTPD 内の異常に基づいており、特に Cobalt Strike システムに基づいているわけではありません。 これらの方法を使用して検出されたすべてのデータ(オープンポート50050など)が裏付けデータを持っていたわけではありません。 サーバー数の変更には、他の変数も関係しています。 Cobalt StrikeのサーバーはIPを変更する場合があり、常に長期間稼働しているわけではありません。 2019年1月以降、新たに目撃されたCobalt Strikeサーバーは減少していますが、データによると、HTTPヌルスペース異常法によって検出された多数のサーバーが稼働しています。

cobalt-strike-servers-6-1.png

組み合わせた検出方法を使用したCobalt Strikeの識別。 (2019年1月〜2019年5月)

この3つの検出結果の組み合わせにより、Cobalt Strikeをホストしているサーバーの信頼性を高く評価することができました - 実際、この方法で特定された6つのサーバーはすべて、以前にCobalt Strikeをホストし、さまざまなCobalt Strikeビーコンと通信していると報告されています。 デフォルトのCobalt Strikeの使用は、最良の検出方法であることが証明されています。ただし、NanoHTTPDとオープンポート50050を組み合わせて監視すると、監視するIPのフィールドを大きく絞り込むことができます。

脅威分析

Recorded Futureは、Fox-ITの方法論を使用し、アクセス可能なIPで標準発行のCobalt Strike TLS証明書の使用を探すことで、Strategic Cyber LLCが主要な検出メカニズムにパッチを適用したことを受けて、Cobalt Strikeの使用をプロファイリングしようと試みました。 今後の方法論と研究は、目に見えるCobalt Strikeサーバーを追跡し、単純な変更によっても検出を回避するCobalt Strikeサーバーを考慮に入れることはできないことに注意してください。

この調査で、Recorded Futureは、Fox-ITの調査結果により、Cobalt Strikeの採用がより新しいバージョンに移行すると予想していました。 Strategic Cyber LLCがこの検出に対処するためのパッチを提供し、HTTPレスポンスに追加のスペースを含むIPアドレスを公開しているにもかかわらず、更新前のCobalt Strikeのデプロイメントは更新されていないようです。 フレームワークの更新の翌月には、Fox-ITの検出 方法に基づいて新たに観測されたCobalt StrikeサーバーがRapid7の データセットに適用されたため、最大の増加が見られました。 これらのサーバーは、平均して70日間をオンラインで過ごしました。

cobalt-strike-servers-7-1.png

しかし、この方法では、2019年2月1日に単独でアクティブだったポート1443のNanoHTTPDを使用して、AS 132839の連続するCIDR範囲で248のデバイスが検出されたため、この検出は信頼性が低いことが証明されました。 この異常を取り除いた後、データは、NanoHTTPDを使用した新しいCobalt Strikeホストの検出が著しく低下したことを示しています。 これは、全体的に Cobalt Strike の新規デプロイメントが少なかったことが原因である可能性がありますが、使用されている更新されたソフトウェアを反映している可能性もあります。

cobalt-strike-servers-8-1.png

2019 年 4 月の最新データでは、以前にデプロイされた Cobalt Strike インスタンスが削除または更新されていないことがほぼ示されています。 さらに、同じデータセットに基づくと、サーバーがオンラインにとどまっていた時間の長さは、検出され続けているサーバーに目立った変化はなく、データセットの平均70日前後で推移しています。 しかし、HTTPヘッダーにヌルスペースがあることが判明した新しいCobalt Strikeサーバーは減少しました。

cobalt-strike-servers-9-1.png

古いバージョンのフレームワーク(HTTPヘッダーのヌルスペースを使用)とデフォルト設定を使用してCobalt Strikeサーバーを継続的に識別することは、Cobalt Strikeサーバーの大規模な集団がクラックされたバージョンまたは盗まれたバージョンであることを示している可能性があります。 また、オペレーターがセキュリティ関連の出版物を読んでいない可能性もありますが、ほとんどのターゲットがCobalt Strikeのサーバーを検索している可能性は低く、ペイロードは依然として有効であるため、なぜ彼らの行動を変えるのか、という単純な答えかもしれません。

Cobalt Strike サーバーのサンプル

Recorded Futureは、2019年4月にアクティビティが確認されたIPアドレスのサンプルを取得し、注目されたアクティビティと検出の重複の両方を調べました。 これらのサーバーは、確認された Cobalt Strike のアクティビティ、他のマルウェアに関連付けられた Cobalt Strike サーバー、既知の脅威グループへのリンクを持つ Cobalt Strike サーバー、脅威リストやレポートにまだ名前が付けられていない未報告の Cobalt Strike サーバーなど、さまざまなカテゴリに分類されます。

使用された調査方法では、分析されたシステムがライセンスされているかどうかを判断することができず、同様に、サーバーが許可されたセキュリティテストまたは不正な攻撃を実施しているかどうかを判断することができませんでした。

Cobalt Strikeに関連するシグナルで重複しているIPアドレスが多数見つかりました。 3つすべてがデフォルトの証明書を使用し、 Cobalt Strikeコントローラーポート 50050が開いており、以前はCobalt StrikeビーコンまたはMeterpreterリバースプロキシをホストしていることが特定されていました。 ここでも、裏付け検出方法を使用すると、より忠実度の高い検出が行われることを強調する必要があります。

  • The IP address 89.105.202.58 made use of the standard Cobalt Strike certificate. Previous URLscan.io results show an HTTP 404 Not Found response, with no content and plain text Content-Type, and Shodan scanning indicates that port 50050 was open, which can host the Cobalt Strike controller. Twitter user @Scumbots has previously identified the server as hosting a Meterpreter reverse proxy, which was contacted via Powershell script that has been hosted on PasteBin since February 2019.

  • 199.189.108.71 also made use of the default Cobalt Strike certificate, had port 50050 open, and had previously been identified by Twitter user @Scumbots for hosting a Meterpreter reverse proxy, which also made use of base64-encoded Powershell to obfuscate execution.

The IP 31.220.43.11 was identified using the baseline Cobalt Strike certificate, corroborated by port 50050 being open on the server. A Meterepreter sample has been observed sending HTTP traffic to the IP in a command-and-control capacity. According to Shodan data, The IP has a number of ports open and is vulnerable to a number of exploits, which may indicate that the host is compromised to serve other malware. The IP hosts a single domain at the time of analysis: cob.ozersk[.]today.

多くのIPは、標準のCobalt Strike証明書を使用しており、以前はFIN6の活動に関連付けられていました。これは、 ランサムウェア の配信と、POS マルウェアを配布するための最初の攻撃ベクトルの両方でした。 この分析の時点では、キャンペーンが公に焼かれているにもかかわらず、これら2つのCobalt Strikeチームサーバーはアクティブでした。 これは、FIN6が運用後のクリーンアップを必要としないこと、および運用が放棄された速度を物語っています。

興味深いことに、サーバーの1つは3つの方法すべてで検出できましたが、サーバーの1つはNanoHTTPDの追加スペースに対してパッチが適用されており、標準のWebサーバーが再構成されたか、攻撃者がCobalt Strikeの更新バージョンを持っていたことを示唆しています。 同じインシデントでデプロイされたCobalt Strikeサーバーの多様性は、FIN6がほとんど変更を加えずに標準のCobalt Strikeフレームワークを使用していることを示しています。

  • The server at 185.80.233.166 uses the default Cobalt Strike security certificate. This system also has the default Cobalt Strike Team Server port 50050/TCP open. The system had an MX record of mail.sexlove24[.]com, and Talos telemetry data indicates that no mail has been observed to or from this system in the month of April 2019. This IP was identified by Morphisec in February 2019 as part of a coordinated attack on point-of-sale systems using FrameworkPOS. The activity made use of TTPs used by the FIN6 group, specifically the use of WMI/PowerShell for lateral movement and privilege escalation.

  • The IP 176.126.85.207 was detected both by Fox-IT’s anomalous space and the use of the default Cobalt Strike certificate, with data corroborated by having port 50050 open. The IP has been observed delivering a Metasploit Meterpreter reverse HTTP payload in conjunction with LockerGoga and Ryuk delivery from FIN6.

2つのIPは標準のCobalt Strike証明書を使用し、Cobalt Strike反射ローダーを使用しました。 リフレクティブDLL(ダイナミックロードライブラリ)ロードは、WindowsのDLLローダーをバイパスし、DLLをディスクに保存しないようにしながら、プロセスのメモリにDLLを挿入する方法です。 この方法で挿入されたDLLは、メモリ内にのみ常駐するため、検出が難しい場合があります。 反射型DLLローディングは、APT40(TEMPとも呼ばれます)でよく知られています 。Periscope)や 「しおれたチューリップ 」キャンペーンでは、Cobalt Strikeに限ったことではなく、多くの関係者がさまざまな手段で実施しています。 リフレクティブ・ローダーの使用は、これらのグループがこれらのサーバー上でアクティブであったという証拠にはなりません。 この分析の時点では、どちらのIPアドレスもホストされているドメインではありません。

  • The IP 89.105.198.18 made use of the default Cobalt Strike certificate as well. The IP previously was identified as a command-and-control server, receiving Meterpreter data over HTTP, according to @Scumbots. Previous scan data from Shodan corroborated the Cobalt Strike server existing on the IP address by having the Cobalt Strike controller port 50050 open. Recorded Future’s collections identified two files which contacted the IP address 89.105.198.18, first observed in March 2019. The payloads had inconsistent detections on VirusTotal, likely due to at least the first file being UPX-packed. An inspection of the memory dumps from executing the files found that both were Cobalt Strike reflective loaders.

  • 3A143D038AAE9E4253ED6656BEAAAE298795A3DF20E874544C0122435EF79BC0

  • 9668c17504a0d9471668DAC64B3C5C2ABFB3B186C25DC28D91AFBE95ED341002

  • Another IP address on the same CIDR range also made use of the default Cobalt Strike certificate:89.105.198.21. The IP address did not host domains at the time of this analysis, but previous scan data corroborated the presence of a Cobalt Strike server.

  • The IP 106.12.204.25 was detected both by Fox-IT’s anomalous space and the use of the default Cobalt Strike certificate. The IP also had port 50050 open, and had a plaintext 404 Not Found response, as mentioned above. The IP has been reported as delivering with a Cobalt Strike beacon, which was also detected by a VirusTotal user as a Cobalt Strike reflective loader related to APT40. Recorded Future has not observed the IP operating in connection with APT40.

Cobalt Strikeをホストしていると特定された別の一般的なIPカテゴリでは、他のマルウェアや疑わしいアクティビティに関連する脅威アクティビティは相関していませんでしたが、ほとんど決定的な結果は得られませんでした。

  • The IP address 91.152.8.14 made use of the standard Cobalt Strike certificate in mid-April 2019. A generic trojan was found to communicate with the IP address via HTTP methods over port 433. The IP hosted no domains at the time of analysis, but shared a certificate with forum.happyhippos[.]org. The certificate issuer claimed to be from Espoo, Uusimaa, Finland, the same relative geolocation of the IP address. Another IP address on the same CIDR range was detected via the anomalous HTTP header space, on 91.152.8.173. While this IP made use of a different certificate, previous Shodan scans over port 443 show a 404 Not Found response with no content and plain text Content-Type, which is a low-confidence signal of a Cobalt Strike server. Without further data, Recorded Future could not come to a conclusion about these IPs.

  • The IP 99.81.122.12 was identified in late April 2019, from the anomalous spacing, use of the Cobalt Strike certificate, and having the controller port 50050 open. The server is now inactive, but previously served as a Cobalt Strike beacon, accessed via HTTP. The server did not host domains at the time of analysis.

  • The IP 72.14.184.90 also made use of the generic Cobalt Strike certificate. The IP address is contacted by a malicious file, reaching out over HTTP to the URL hxxps://72.14.184[.]90/search/news/. The file is detected as a Cobalt Strike beacon. The IP address was also implicated for being involved in a spearphishing campaign in late January 2019. Shodan scan data indicates the server has a number of vulnerabilities, which points to the server potentially being compromised to host the Cobalt Strike server, rather than the server being rented for a pen-testing engagement.

  • 06f8004835c5851529403f73ad23168b1127315d02c68e0153e362a73f915c72

最後に、多くのIPは脅威活動の報告が限られていましたが、近い将来に発生する可能性のある悪意のある活動の兆候を示していました。

  • The IP 172.96.250.199 used the baseline Cobalt Strike certificate, but has not had any threat activity associated with it, according to Recorded Future telemetry. The IP address has since swapped certificates to use a pair of LetsEncrypt certificates, including one linked to the domain haqiu[.]cf. The domain was neither active nor hosted on this IP at the time of this analysis. The IP has been associated with hosting a suspicious domain, ssss.ppwu[.]xyz, which has made use of dual LetsEncrypt certificates. These certificates are good for only 90 days and have since been rotated onto Cloudflare servers. This may indicate a forthcoming red-team engagement, or future threat activity using Cobalt Strike.

  • The IP 139.162.18.83 was identified from the use of the default Cobalt Strike SSL certificate, but no threat activity or other oddities, have been observed on the IP address. However, on the same CIDR range, 139.162.18.179 was identified from the anomalous space included in the HTTP response, and it was found to be using the default Cobalt Strike SSL certificate. There is no threat activity currently associated with the server, but a number of suspicious domains are hosted on the IP.

  • The IP 124.156.106.98 also made use of the default Cobalt Strike certificate, and had port 50050 open which can be used for the Cobalt Strike controller panel. The IP has been observed as the command and control for a Cobalt Strike beacon, observed in March 2019. However, an odd domain was registered and hosted on the IP as of May 2, 2019, kongbu.koubaogangjiao[.]xyz, while the Cobalt Strike signals were still live. The domain may be used going forward for penetration testing or malicious infections.

今後の展望

Recorded Future は、既知の脅威からのシグナルをクラスター化して、脅威アクティビティのベースライン化を支援し、より一意の脅威を特定しやすくすることが重要であると考えています。 標準の Cobalt Strike 証明書の継続的な目撃情報と、3.13 より前のバージョンからの HTTP 応答の異常なスペースは、複数の署名の共同使用がアクティブな Cobalt Strike サーバーを識別するための最良の方法であることが証明されることを示しています。

スパイ活動志向のアクターは、多くの場合、大量の開発時間とリソースを自由に使える一方で、群衆に溶け込むための既得権益も持っています。 言語の壁によるアップデートの知識の欠如、現在インストールされているバージョンでの運用上の快適さ、またはアップデートのインストールを妨げるその他の変更など、意図的なトレードクラフト以外の障害がCobalt Strikeサーバーのパッチ適用を妨げる可能性があります。 Cobalt Strikeのクラックされたバージョンを使用したり、標準のCobalt Strikeインスタンスをデプロイしたりすると、脅威が混ざり合い、アトリビューションが困難になります。 さらに、フレームワークのクラックされたバージョンを実行することで、アクターは古いバージョンのCobalt Strikeに溶け込むことができます。

これらのサーバーをローリングベースで検出することで、SOCチームとIRチームがアラート機能やブロック機能を開発するためのルールを提供し、これらのサーバーと通信するホストの調査を促すことができます。

関連ニュース&研究