Rogue Cobalt Strikeサーバーを特定するためのマルチメソッドアプローチ

分析の全文をPDFでダウンロードするには、ここをクリックしてください。

Recorded Futureは、いくつかのCobalt Strikeサーバー検出方法が公に特定されたことを受けて、Cobalt Strikeサーバーの変更を評価しました。 私たちの分析では、さまざまな方法論の評価を行い、それらに基づいて複合分析を行い、ユーザーが検出を回避するために構成を変更したかどうかを判断しました。 ソースには、Recorded Future® Platform、BinaryEdge、Censys、Rapid7 LabのOpenData、Shodan、GreyNoise、ReversingLabs、VirusTotal、Farsight DNS、およびその他のオープンソースが含まれます。 このレポートは、応答時間の短縮を目指す組織や、Cobalt Strike のインシデントに定期的に対処しているアナリストにとって、最も興味深いものとなるでしょう。

Executive Summary

Cobalt Strikeは、高度な敵対者による標的型攻撃やエクスプロイト後のアクションをエミュレートするために、セキュリティ専門家が使用するために開発されたエクスプロイトプラットフォームです。 このツールは、ワシントンDCに拠点を置く企業であるStrategic Cyber LLCによって開発およびライセンス供与されており、同社による違法な使用が監視されており、輸出規制の対象となっています。 それにもかかわらず、Cobalt Strikeフレームワークは、Metasploit Pro、Core Impactなどの他の有料スイートを含むこのタイプのさまざまなソフトウェアの間で人気のあるオプションになっています。 このようなプラットフォームの中で、ライセンスのないユーザーや犯罪者によって使用されているのはCobalt Strikeだけではありませんが、このツールを初期に悪用するために使用した APT32や、フレームワークに大きく依存している同名のCobalt Groupなど、さまざまな脅威グループによって使用されています。

セキュリティテスター、そしてさらに重要なことに、悪意のある攻撃者がCobalt Strikeプラットフォームを頻繁に使用していることを考えると、Cobalt Strikeサーバーと企業ネットワーク資産への接続を認識する必要性は明らかです。

検出方法が公開されているにもかかわらず、Recorded Futureは、Cobalt Strikeサーバーがほとんどパッチが適用されていないため、フィンガープリントとその後の検出が可能になっていることを確認しています。 この方法論を他の検出と組み合わせることで、Recorded Futureは、野生で見つかったCobalt Strikeサーバーをサンプリングし、フィンガープリント方法を比較することで、防御側がこのフレームワークを最適に追跡および監視できるようにしました。 Cobalt Strike サーバーの追跡は、ブルーチームがレッドチームのアクティビティを検出し、Cobalt Strike チームサーバーを変更していない敵からのアクティビティを封じ込めるのに役立ちます。

背景

今日のインシデント対応アナリストとセキュリティ運用アナリストにとっての主な課題は、どのセキュリティ イベントまたはアラートを優先的に確認するかを判断することです。 幸いなことに、SplunkのようなSIEMワークフローに正確な脅威インテリジェンスを適用することは、信頼できる脅威を特定するのに役立ち、セキュリティチームがより積極的な対策を講じるための重要な追加コンテキストを明らかにすることさえできます。 たとえば、アラートがSIEMに送信された場合、それはIPアドレス89.105.198[.]28, エンドポイントの 1 つから接続されました。 さて何ですか。

記録された将来のブラウザ拡張機能。

Splunkアラートページで Recorded Futureブラウザ拡張機能 を開くと、IPアドレスは89.105.198[.]28 リスクスコア93でトップにジャンプします(この調査結果は2019年5月6日に行われ、悪意のあるアクティビティがこれ以上観察されない場合、リスクスコアは2019年5月17日に減衰します)。 この調査により、この IP アドレスは、 ソフォス が以前に MegaCortex ランサムウェアキャンペーンの一環として、Cobalt Strike リバースシェルを使用して報告していたことが明らかになりました。

Cobalt Strike は、Strategic Cyber LLCの創設者であるRaphael Mudge氏がペネトレーションテスター向けに開発した敵対者シミュレーションプラットフォームです。 Metasploit、NMAP、Powershell Empireなどの他のプラットフォームとの相互運用性を考慮して設計されており、最初はMetasploit用にMudgeが開発したグラフィックユーザーインターフェイス(GUI)であるArmitageを使用して実行できます。 ArmitageとCobalt Strikeは、情報の共有と、適切に調整されたアクションを指示および実行する能力を可能にするチームサーバーを中心に設計されています。

その高度な機能で知られるCobalt Strikeは、多くの セキュリティ専門家 に採用され、犯罪者や 国家 組織によっても違法に使用されています。 MITREが述べているように、「Cobalt Strikeのインタラクティブなポストエクスプロイト機能は、ATT&CKのあらゆる戦術をカバーし、すべてが単一の統合システム内で実行されます」。このフレームワークは、過去3年間、脅威の状況における主力であり、犯罪グループ、国家が支援する攻撃者、そしてもちろん侵入テストチームによって頻繁に使用されてきました。

コバルトストライクは時間の経過とともに使用されます。 (出典:Recorded Future)

Cobalt Strikeは専門的に保守されており、現在、ライセンスに基づいて3,500米ドルの料金で利用でき、毎年更新されています。 米国が設定した輸出規制に加えて、Strategic Cyber LLCは、正当なセキュリティ専門家へのライセンスと使用を厳密に管理し、ソフトウェアを悪意のある攻撃者の手に渡らないようにしようとしています。

Strategic Cyber LLCは、ソフトウェアのライセンス版を定期的に更新し、パッチを適用しています。 Cobalt Strikeのサーバー構成に対する最近の変更は、フレームワークが検出を回避するのを助ける試みです。 ただし、ソフトウェアの海賊版には、公式のアップデートやパッチは適用されません。

ソフトウェアのライセンスは厳しく管理されていますが、Cobalt Strikeの 海賊版 が出回っている例が確認されており、多くの場合、クラックされた試用版があり、犯罪者の地下のさまざまなアクターがそれらを取得または取引しようとしていることが観察されています。 ただし、ひびの入ったバージョンには、バックドアなどの独自の「機能」が追加されていたり、何らかの形で欠けていたりする場合があります。 2019年4月5日、Raidフォーラムの1人のメンバーが、Cobalt Strike 3.13(最新バージョン)のクラックされたコピーへのリンクを投稿しましたが、他のメンバーは、一部の機能が欠けていることや、 EICARなど削除されるべきソフトウェアの一部が残っていることを指摘しました。 したがって、Cobalt Strikeの正規バージョンは価値があります。例えば、Mazaフォーラムのメンバーの一人が昨年、米国内の購入者に対して25,000米ドルを提供し、Cobalt Strikeのライセンスコピーを取得し、それをこのフォーラムメンバーに違法に送金したことが確認されました。

89.105.198[.] の調査に戻る28, このIPアドレスは、MegaCortexのインシデントの際に、被害者のドメインコントローラー上のCobalt Strikeリバースシェルのコマンド&コントロールサーバーとして使用されました。 その後、ランサムウェアはPSExecを介して環境全体に配布されました。 この分析の時点では、MegaCortexランサムウェアキャンペーンがアクティブでした。 IPアドレスをさらに調査すると、Cobalt Strikeサーバーのデフォルトの セキュリティ証明書 を使用してトラフィックを暗号化していることがわかります。

この事件は89.105.198[.]28 Recorded Futureは、この特定のCobalt Strike活動を調査するよう促しました。 これにより、セキュリティ会社のFox-ITがCobalt StrikeのHTTPレスポンスに含まれる異常な空間に関する調査結果や、Cobalt Strikeのサーバー上での標準的な事前設定済みの自己署名SSL/TLS証明書の一般的な使用を含むその他の公開検出に関する 調査結果 を受けて、Cobalt Strikeの大規模な研究がさらに促進されました。 この証明書をデプロイするサーバーは、SHA256ハッシュまたは証明書のシリアル番号によってShodanまたはCensysを介して検出できます。

デフォルトの Cobalt Strike SSL/TLS 証明書。

Cobalt Strike Team サーバーを特定するための公開方法論

2019年2月19日、Strategic Cyber LLC(Cobalt Strikeのプロデューサー)は、「Cobalt Strike Team Server Population Study」の結果を発表しました。 この調査は、発見されたCobalt Strikeソフトウェアのライセンスステータスを発見し、現在使用されているソフトウェアのバージョンに加えられた重要な変更を特定して分析するために部分的に行われました。

この調査では、野生のCobalt Strikeサーバーを特定するために使用できる複数の方法を特定しました。

• Cobalt Strike サーバーには、管理者が変更しない限り、フィンガープリントに使用できるデフォルトのセキュリティ証明書が付属しています。

• SHA256: 87f2085c32b6a2cc709b365f55873e207a9caa10bffecf2fd16d3cf9d94d390c

• シリアルナンバー:146473198

• 有効にすると、Cobalt Strike DNSサーバーは、ボゴン(偽の)IP:0.0.0.0で受信したDNSリクエストに応答します(これはCobalt Strikeサーバーに限ったことではありません)。

• Cobalt Strike Team Serverのデフォルトのコントローラーポートは50050 / TCPで、他のサーバーで開いているポートが見つかる可能性は低いです。

• Cobalt Strike の "404 Not Found" HTTP レスポンスは NanoHTTPD ウェブサーバーに固有のもので、検出できます。

全体として見ると、上記のリストの中で最も確実な方法は、デフォルトのセキュリティ証明書を使用してCobalt Strikeサーバーのフィンガープリントを作成することです。 残りの検出方法は確実性が低く、他の方法と比較すると、すべての検出方法の信頼性が高くなります。 たとえば、ポート 50050 を使用し、NanoHTTPD Web サーバーに固有の HTTP 応答も提供するサーバーは、HTTP 応答シグネチャのみを示すことが判明したサーバーよりも Cobalt Strike サーバーである可能性が高くなります。

NanoHTTPDは、オープンソースのWebサーバーフレームワークです。 バージョン 3.12 以前を実行している NanoHTTPD サーバーと Cobalt Strike サーバーは、HTTP レスポンスのヌルスペースで識別でき、"HTTP/1.1" の後には他の Web サーバーレスポンスにはない空白 (0x20) が続きます。 3.13 より前の Cobalt Strike サーバーからの HTTP レスポンスにはこの null スペースが含まれ、HTTP サーバーのレスポンスを取得できるスキャナーを使用してそれらを検索できます。 前述のヌルスペースを特定する簡単な方法は、Cobalt StrikeサーバーへのブラウザのHTTP接続のパケットキャプチャで行うことができ、余分なスペースを簡単に確認できます。

クラックされたバージョンを実行しているCobalt Strikeインスタンスは更新またはパッチが適用されていないため、この方法では、犯罪者が運営するCobalt Strikeサーバーを発見する可能性がさらに高まります。

Strategic Cyber LLCのブログ記事では特に言及されていませんが、Cobalt Strikeのサーバーを特定する別の方法です。 2019年1月2日、Cobalt Strike version 3.13がリリースされました。 Cobalt Strikeのリリースノートには、以前のバージョンからの変更点の1つが「HTTPステータスレスポンスからの無関係なスペース」の削除だったと記載されている。NanoHTTPD サーバー (オープンソースの Java ベースの Web サーバー) の HTTP サーバー応答の余分な null バイトは、2012 年に最初にリリースされ、NanoHTTPD に基づく Cobalt Strike Team Server に影響を与えました。

2019年2月26日にセキュリティ会社Fox-ITが発表したCobalt Strikeサーバー に関する調査 では、バージョン3.13より前のサーバー(HTTPレスポンスのヌルスペースを追加して応答する)を特定する方法の詳細だけでなく、 Rapid7の公開データから見つかったこの検出方法を使用して2015年から2019年にかけて観測されたCobalt Strikeサーバーをホストしている7,000を超えるIPのリストも提供されました。

Cobalt Strike サーバーからの HTTP ヘッダーに余分な null スペースを示すパケット キャプチャ。

同様に、2019年2月27日、中国のKnownsecセキュリティ研究チームは、Strategic Cyber LLCが報告したNanoHTTPD 404 Not Found応答の異常とヌルスペースの異常を使用してCobalt Strikeサーバーを特定したことを 詳しく説明したブログ を公開しました。 彼らは、関連付けられたZoomEye検索エンジンプラットフォーム内のデータで見つかったサーバーの数が少なくなりましたが、それでも3,000を超えるサーバーを見つけました。 Knownsecは、Cobalt Strikeが構築されているオープンソースのNanoHPPTDコードが、正確には次のように応答すると報告しています。

Knownsec は、この検出結果に基づいて検出ロジックを作成しました。 しかし、Knownsecはその後、一部のCobalt Strikeシステムからのレスポンスで「date」の後に「content-type」が提示されていることを発見した後、HTTPレスポンス内の順序が実際には異なる可能性があることも観察しました。

Cobalt Serverを検出するための信頼性の高い方法は、詳細なネットワークトラフィックデータにアクセスできる人が利用できます。 3人のSalesforce研究者によって開発されたオープンソースの JA3プロジェクトは、サーバーとクライアント間のTLSネゴシエーションをフィンガープリントすることで、疑わしいHTTPSトラフィックを検出できる。 TLS/SSL バージョン、受け入れられている暗号スイート、楕円曲線の詳細 (楕円曲線のポイント形式など) は、ブラウザがその 1 つのブラウザに固有のバージョン、アドオン、およびその他の機能によってフィンガープリントされるのと同じように、フィンガープリントできます。

JA3 署名はクライアント側用で、JA3S 署名はサーバー用です。 Cobalt Strikeの場合、クライアントビーコン(Windowsソケットを使用して通信を開始する)とKali Linuxオペレーティングシステム上で動作するCobalt Strikeサーバーによって、TLSネゴシエーション用の フィンガープリント が作成されています。 これらのフィンガープリントは、Cobalt Strikeサーバーを確実に検出するために一緒に使用する必要があります。 この検出方法は、Cobalt Strike オペレーターが「リダイレクター」を使用して部分的に軽減できますが、多くの Cobalt Strike サーバーはそのようなプロキシを使用しません。

JA3 および JA3S 署名は、Zeek/Bro や Suricata などのツールで使用できます。 これらのネットワーク検出ツールからのデータは、後でSplunkなどのSIEMに供給できます。 JA3 と JA3S の署名は、 Salesforce の Github アカウント や他の ソースから入手できます。

セキュリティチームや管理者が使用する可能性のあるMetasploit、Powershell、PsExecなどの他のツールの検出と同様に、ネットワーク防御者は、ネットワーク内からCobalt Strikeサーバーへの接続を示す証拠を見つけた場合、検出自体がユーザーの意図を特定するものではないため、デューデリジェンスを行う必要があります。 Cobalt Strikeのサーバーを、認定されたレッドチームのサーバーまたは真の敵対者のサーバーとして識別することは、検出されたトラフィックだけでは不可能な場合があります。

Fox-ITとKnownsecが異常なHTTPレスポンスを公表していると報告してからの変更点

これらの方法で特定されたCobalt Strikeサーバーの数は、2019年2月下旬にStrategic Cyber LLC、Fox-IT、KnownsecがCobalt Strikeサーバーの検出に関する情報を公開した後、減少すると予想していました。 さらに、Cobalt Strikeのオペレーターは、Strategic Cyber LLCの2月の調査で、トラフィックをプロキシするための「リダイレクター」としてApacheまたはNginxのWebサーバーを利用するように奨励されました。これにより、異常なHTTPレスポンス、デフォルトのセキュリティ証明書、およびその他の識別子を方程式から取り除くことにより、Cobalt Strikeサーバーの単純な検出が妨げられます。 正規のライセンス取得済みサーバーをバージョン 3.13 に更新すると、無関係なヌルスペース方式で検出される数が減りますが、Cobalt Strike のオペレーターが広く知られている検出方法を認識しているため、検出可能なサーバーの数が減少することも期待されます。

Insikt Groupは、HTTPレスポンスの異常なヌルスペースを検出するFox-ITの方法論を複製することにより、特定されたサーバーの顕著な減少を確認しました。 2019年2月にRapid7のデータを使用して、388台のCobalt Strikeサーバーが初めて観測されました。 この方法を使用して最初に確認されたCobalt Strikeサーバーの数は、2019年4月にわずか90でした。 ただし、これは話の一部にすぎません。この方法で見える古いCobalt Strikeサーバーの数は減少していますが、それほど大きくはありません。 Rapid7のデータで観測されたサーバーのうち441台は、2019年4月でも稼働していることが観察されており、これは2019年1月に最後に観測された387台よりも多くなっています。

Insikt Group は、Knownsec の調査を分析して異なる HTTP 検出手法で Cobalt Strike を特定することで、同じ ZoomEye 検索エンジンデータで研究を再現しました。 Insikt Groupは、2018年に稼働していたサーバーは1,580台でしたが、2019年5月までには1,053台にとどまったことを確認しました。

個々の Cobalt Strike 検出パラメーターの最近のメトリクス。 (2019年1月〜2019年5月)

前述のように、これらの HTTP 検出方法はどちらも NanoHTTPD 内の異常に基づいており、特に Cobalt Strike システムに基づいているわけではありません。 これらの方法を使用して検出されたすべてのデータ(オープンポート50050など)が裏付けデータを持っていたわけではありません。 サーバー数の変更には、他の変数も関係しています。 Cobalt StrikeのサーバーはIPを変更する場合があり、常に長期間稼働しているわけではありません。 2019年1月以降、新たに目撃されたCobalt Strikeサーバーは減少していますが、データによると、HTTPヌルスペース異常法によって検出された多数のサーバーが稼働しています。

組み合わせた検出方法を使用したCobalt Strikeの識別。 (2019年1月〜2019年5月)

この3つの検出結果の組み合わせにより、Cobalt Strikeをホストしているサーバーの信頼性を高く評価することができました - 実際、この方法で特定された6つのサーバーはすべて、以前にCobalt Strikeをホストし、さまざまなCobalt Strikeビーコンと通信していると報告されています。 デフォルトのCobalt Strikeの使用は、最良の検出方法であることが証明されています。ただし、NanoHTTPDとオープンポート50050を組み合わせて監視すると、監視するIPのフィールドを大きく絞り込むことができます。

脅威分析

Recorded Futureは、Fox-ITの方法論を使用し、アクセス可能なIPで標準発行のCobalt Strike TLS証明書の使用を探すことで、Strategic Cyber LLCが主要な検出メカニズムにパッチを適用したことを受けて、Cobalt Strikeの使用をプロファイリングしようと試みました。 今後の方法論と研究は、目に見えるCobalt Strikeサーバーを追跡し、単純な変更によっても検出を回避するCobalt Strikeサーバーを考慮に入れることはできないことに注意してください。

この調査で、Recorded Futureは、Fox-ITの調査結果により、Cobalt Strikeの採用がより新しいバージョンに移行すると予想していました。 Strategic Cyber LLCがこの検出に対処するためのパッチを提供し、HTTPレスポンスに追加のスペースを含むIPアドレスを公開しているにもかかわらず、更新前のCobalt Strikeのデプロイメントは更新されていないようです。 フレームワークの更新の翌月には、Fox-ITの検出 方法に基づいて新たに観測されたCobalt StrikeサーバーがRapid7の データセットに適用されたため、最大の増加が見られました。 これらのサーバーは、平均して70日間をオンラインで過ごしました。

しかし、この方法では、2019年2月1日に単独でアクティブだったポート1443のNanoHTTPDを使用して、AS 132839の連続するCIDR範囲で248のデバイスが検出されたため、この検出は信頼性が低いことが証明されました。 この異常を取り除いた後、データは、NanoHTTPDを使用した新しいCobalt Strikeホストの検出が著しく低下したことを示しています。 これは、全体的に Cobalt Strike の新規デプロイメントが少なかったことが原因である可能性がありますが、使用されている更新されたソフトウェアを反映している可能性もあります。

2019 年 4 月の最新データでは、以前にデプロイされた Cobalt Strike インスタンスが削除または更新されていないことがほぼ示されています。 さらに、同じデータセットに基づくと、サーバーがオンラインにとどまっていた時間の長さは、検出され続けているサーバーに目立った変化はなく、データセットの平均70日前後で推移しています。 しかし、HTTPヘッダーにヌルスペースがあることが判明した新しいCobalt Strikeサーバーは減少しました。

古いバージョンのフレームワーク(HTTPヘッダーのヌルスペースを使用)とデフォルト設定を使用してCobalt Strikeサーバーを継続的に識別することは、Cobalt Strikeサーバーの大規模な集団がクラックされたバージョンまたは盗まれたバージョンであることを示している可能性があります。 また、オペレーターがセキュリティ関連の出版物を読んでいない可能性もありますが、ほとんどのターゲットがCobalt Strikeのサーバーを検索している可能性は低く、ペイロードは依然として有効であるため、なぜ彼らの行動を変えるのか、という単純な答えかもしれません。

Cobalt Strike サーバーのサンプル

Recorded Futureは、2019年4月にアクティビティが確認されたIPアドレスのサンプルを取得し、注目されたアクティビティと検出の重複の両方を調べました。 これらのサーバーは、確認された Cobalt Strike のアクティビティ、他のマルウェアに関連付けられた Cobalt Strike サーバー、既知の脅威グループへのリンクを持つ Cobalt Strike サーバー、脅威リストやレポートにまだ名前が付けられていない未報告の Cobalt Strike サーバーなど、さまざまなカテゴリに分類されます。

使用された調査方法では、分析されたシステムがライセンスされているかどうかを判断することができず、同様に、サーバーが許可されたセキュリティテストまたは不正な攻撃を実施しているかどうかを判断することができませんでした。

Cobalt Strikeに関連するシグナルで重複しているIPアドレスが多数見つかりました。 3つすべてがデフォルトの証明書を使用し、 Cobalt Strikeコントローラーポート 50050が開いており、以前はCobalt StrikeビーコンまたはMeterpreterリバースプロキシをホストしていることが特定されていました。 ここでも、裏付け検出方法を使用すると、より忠実度の高い検出が行われることを強調する必要があります。

• IPアドレス 89.105.202.58 は、標準のCobalt Strike証明書を利用しました。 以前の URLscan.io の結果では、HTTP 404 Not Found レスポンスが表示され、コンテンツがなく、プレーンテキストの Content-Type があり、Shodan スキャンではポート 50050 が開いていたことが示され、Cobalt Strike コントローラーをホストできます。 Twitterユーザーの @Scumbots は、2019年2月からPasteBinでホストされているPowershellスクリプトを介して接続された、Meterpreterリバースプロキシをホストしているサーバーとして以前に特定しました。

• 199.189.108.71 もデフォルトのCobalt Strike証明書を使用し、ポート50050を開いており、以前にTwitterユーザー @Scumbots によってMeterpreterリバースプロキシをホストしていると特定されていました。

IP 31.220.43.11 は、ベースラインの Cobalt Strike 証明書を使用して識別され、サーバー上でポート 50050 が開いていることで裏付けられています。 Meterepreter サンプルは、コマンド&コントロール機能で IP に HTTP トラフィックを送信することが確認されています。 Shodan のデータによると、IPには多数のポートが開いており、多くのエクスプロイトに対して脆弱であり、ホストが他のマルウェアを提供するために侵害されていることを示している可能性があります。 このIPは、分析時点で単一のドメインをホストしています:cob.ozersk[.]今日。

多くのIPは、標準のCobalt Strike証明書を使用しており、以前はFIN6の活動に関連付けられていました。これは、 ランサムウェア の配信と、POS マルウェアを配布するための最初の攻撃ベクトルの両方でした。 この分析の時点では、キャンペーンが公に焼かれているにもかかわらず、これら2つのCobalt Strikeチームサーバーはアクティブでした。 これは、FIN6が運用後のクリーンアップを必要としないこと、および運用が放棄された速度を物語っています。

興味深いことに、サーバーの1つは3つの方法すべてで検出できましたが、サーバーの1つはNanoHTTPDの追加スペースに対してパッチが適用されており、標準のWebサーバーが再構成されたか、攻撃者がCobalt Strikeの更新バージョンを持っていたことを示唆しています。 同じインシデントでデプロイされたCobalt Strikeサーバーの多様性は、FIN6がほとんど変更を加えずに標準のCobalt Strikeフレームワークを使用していることを示しています。

• 185.80.233.166 のサーバーは、デフォルトの Cobalt Strike セキュリティ証明書を使用します。このシステムでは、デフォルトのCobalt Strike Teamサーバーポート50050 / TCPも開いています。 このシステムには、mail.sexlove24[.]com、 また、Talos テレメトリ データ によると、2019 年 4 月にはこのシステムとの間で送受信されるメールは観測されていません。 このIPは、2019年2月にMorphisecによって、FrameworkPOSを使用したPOSシステムに対する組織的な攻撃の一部として 特定 されました。 この アクティビティ では、FIN6グループが使用するTTPを利用し、特に横移動と権限昇格のためのWMI/PowerShellの使用が行われています。

• IP アドレス176.126.85.207 は、Fox-ITの異常な空間とデフォルトのCobalt Strike証明書の使用の両方によって検出され、データはポート50050を開いていることで裏付けられました。 このIPは、FIN6からのLockerGogaおよびRyukの配信と連動して、Metasploit Meterpreter逆HTTPペイロードを配信する ことが確認されています 。

2つのIPは標準のCobalt Strike証明書を使用し、Cobalt Strike反射ローダーを使用しました。 リフレクティブDLL(ダイナミックロードライブラリ)ロードは、WindowsのDLLローダーをバイパスし、DLLをディスクに保存しないようにしながら、プロセスのメモリにDLLを挿入する方法です。 この方法で挿入されたDLLは、メモリ内にのみ常駐するため、検出が難しい場合があります。 反射型DLLローディングは、APT40(TEMPとも呼ばれます)でよく知られています 。Periscope)や 「しおれたチューリップ 」キャンペーンでは、Cobalt Strikeに限ったことではなく、多くの関係者がさまざまな手段で実施しています。 リフレクティブ・ローダーの使用は、これらのグループがこれらのサーバー上でアクティブであったという証拠にはなりません。 この分析の時点では、どちらのIPアドレスもホストされているドメインではありません。

• IP 89.105.198.18 は、デフォルトの Cobalt Strike 証明書も使用していました。 @Scumbotsによると、このIPは以前はコマンドアンドコントロールサーバーとして識別され、HTTP経由でMeterpreterデータを受信していました。Shodanからの以前のスキャンデータは、 Cobalt Strikeコントローラーポート 50050を開くことで、IPアドレスに存在するCobalt Strikeサーバーを 裏付けていました 。Recorded Futureのコレクションは、IPアドレス89.105.198.18に連絡した2つのファイルを特定しました。 2019年3月に初めて観測されました。 ペイロードは VirusTotalで一貫して検出されませんでしたが、これは少なくとも最初のファイルがUPXパックされていたためと思われます。 ファイルの実行によるメモリダンプの調査により、どちらもCobalt Strikeのリフレクティブローダーであることがわかりました。

• 3A143D038AAE9E4253ED6656BEAAAE298795A3DF20E874544C0122435EF79BC0

• 9668c17504a0d9471668DAC64B3C5C2ABFB3B186C25DC28D91AFBE95ED341002

• 同じCIDR範囲の別のIPアドレスも、デフォルトのCobalt Strike証明書(89.105.198.21)を使用していました。 この分析の時点では、IPアドレスはホストドメインではありませんでしたが、以前のスキャンデータからCobalt Strikeサーバーの存在が裏付けられていました。

• IP 106.12.204.25 は、Fox-ITの異常な空間とデフォルトのCobalt Strike証明書の使用の両方によって検出されました。 また、この IP ではポート 50050 が開いており、前述のようにプレーンテキストの 404 Not Found 応答がありました。 このIPは 、Cobalt Strike ビーコンを使用して 配信 されると報告されており、VirusTotalのユーザーは、APT40に関連するCobalt Strikeリフレクティブローダーとしても 検出 しました。Recorded Futureは、APT40に関連してIPが動作していることを確認していません。

Cobalt Strikeをホストしていると特定された別の一般的なIPカテゴリでは、他のマルウェアや疑わしいアクティビティに関連する脅威アクティビティは相関していませんでしたが、ほとんど決定的な結果は得られませんでした。

• IPアドレス 91.152.8.14 は、2019年4月中旬に標準のCobalt Strike証明書を利用しました。 汎用トロイの木馬が、ポート433経由でHTTPメソッドを介してIPアドレスと通信することが判明しました。 このIPは分析時点ではドメインをホストしていませんでしたが、forum.happyhippos[.]組織。 証明書の発行者は、IPアドレスの相対的な地理的位置が同じフィンランドのUusimaaにあるEspooから来ていると主張しました。 同じCIDR範囲の別のIPアドレスが、異常なHTTPヘッダースペースを介して 91.152.8.173で検出されました。 このIPは別の証明書を使用していましたが、ポート443を介した以前のShodanスキャンでは、コンテンツがなく、プレーンテキストのContent-Typeである 404 Not Found応答 が表示され、これはCobalt Strikeサーバーの信頼度の低いシグナルです。 さらなるデータがなければ、Recorded FutureはこれらのIPについて結論を出すことができませんでした。

• IP 99.81.122.12 は、2019 年 4 月下旬に、異常な間隔、Cobalt Strike 証明書の使用、およびコントローラー ポート 50050 が開いていることから特定されました。 このサーバーは現在非アクティブですが、以前は Cobalt Strike ビーコンとして機能し、HTTP 経由でアクセスされていました。 分析時にサーバーがドメインをホストしていませんでした。

• IP 72.14.184.90 は、一般的な Cobalt Strike 証明書も使用しました。 IPアドレスは悪意のあるファイルからアクセスされ、HTTP経由でURL hxxps://72.14.184[.]90/検索/ニュース/。 ファイルは Cobalt Strike ビーコンとして 検出 されます。 このIPアドレスは、2019年1月下旬のスピアフィッシングキャンペーンに関与していたことにも 関与 していました。 Shodanのスキャンデータによると、このサーバーには多くの脆弱性があり、これは、侵入テストのためにレンタルされているサーバーではなく、Cobalt Strikeサーバーをホストするためにサーバーが侵害されている可能性があることを示しています。

• 06f8004835c5851529403f73ad23168b1127315d02c68e0153e362a73f915c72

最後に、多くのIPは脅威活動の報告が限られていましたが、近い将来に発生する可能性のある悪意のある活動の兆候を示していました。

• Recorded Futureのテレメトリによると、IP 172.96.250.199 はベースラインのCobalt Strike証明書を使用していましたが、それに関連する脅威活動はありませんでした。 その後、IPアドレスは、ドメインhaqiu[.]参照。この分析の時点では、ドメインはアクティブでもホストされていませんでした。 このIPは、疑わしいドメインssss.ppwu[.]xyz や これは、デュアルLetsEncrypt証明書を利用しています。 これらの証明書は90日間のみ有効で、その後Cloudflareサーバーにローテーションされています。 これは、近日中にレッドチームとの関与が予定されていることや、Cobalt Strike を使用した将来の脅威活動を示している可能性があります。

• IP アドレス139.162.18.83 は、デフォルトのCobalt Strike SSL証明書を使用して特定されましたが、IPアドレスでの脅威活動やその他の奇妙な点は観察されていません。 ただし、同じCIDR範囲で、HTTPレスポンスに含まれる異常なスペースから 139.162.18.179 が特定され、デフォルトのCobalt Strike SSL証明書を使用していることがわかりました。 現在、サーバーに関連付けられている脅威アクティビティはありませんが、多数の疑わしいドメインが IP でホストされています。

• IP 124.156.106.98 もデフォルトの Cobalt Strike 証明書を使用しており、Cobalt Strike コントローラー パネルに使用できるポート 50050 が開いていました。 このIPは、2019年3月に観測されたCobalt Strikeビーコンの コマンド&コントロール として観測されています。 しかし、2019年5月2日現在、奇妙なドメインがIPに登録され、ホストされていました。xyz や コバルトストライクの信号はまだ生きていました。 このドメインは、今後、侵入テストや悪意のある感染に使用される可能性があります。

今後の展望

Recorded Future は、既知の脅威からのシグナルをクラスター化して、脅威アクティビティのベースライン化を支援し、より一意の脅威を特定しやすくすることが重要であると考えています。 標準の Cobalt Strike 証明書の継続的な目撃情報と、3.13 より前のバージョンからの HTTP 応答の異常なスペースは、複数の署名の共同使用がアクティブな Cobalt Strike サーバーを識別するための最良の方法であることが証明されることを示しています。

スパイ活動志向のアクターは、多くの場合、大量の開発時間とリソースを自由に使える一方で、群衆に溶け込むための既得権益も持っています。 言語の壁によるアップデートの知識の欠如、現在インストールされているバージョンでの運用上の快適さ、またはアップデートのインストールを妨げるその他の変更など、意図的なトレードクラフト以外の障害がCobalt Strikeサーバーのパッチ適用を妨げる可能性があります。 Cobalt Strikeのクラックされたバージョンを使用したり、標準のCobalt Strikeインスタンスをデプロイしたりすると、脅威が混ざり合い、アトリビューションが困難になります。 さらに、フレームワークのクラックされたバージョンを実行することで、アクターは古いバージョンのCobalt Strikeに溶け込むことができます。

これらのサーバーをローリングベースで検出することで、SOCチームとIRチームがアラート機能やブロック機能を開発するためのルールを提供し、これらのサーバーと通信するホストの調査を促すことができます。