Recorded Futureは、いくつかのCobalt Strikeサーバー検出方法が公に特定されたことを受けて、Cobalt Strikeサーバーの変更を評価しました。 私たちの分析では、さまざまな方法論の評価を行い、それらに基づいて複合分析を行い、ユーザーが検出を回避するために構成を変更したかどうかを判断しました。 ソースには、Recorded Future® Platform、BinaryEdge、Censys、Rapid7 LabのOpenData、Shodan、GreyNoise、ReversingLabs、VirusTotal、Farsight DNS、およびその他のオープンソースが含まれます。 このレポートは、応答時間の短縮を目指す組織や、Cobalt Strike のインシデントに定期的に対処しているアナリストにとって、最も興味深いものとなるでしょう。

Executive Summary

Cobalt Strike は、高度な攻撃者、犯罪組織による標的型攻撃やエクスプロイト後のアクションをエミュレートする際にセキュリティ専門家が使用するために開発されたエクスプロイト プラットフォームです。 このツールは、ワシントン DC に本拠を置く企業である Strategic Cyber LLC によって開発およびライセンス供与されており、同社によって違法使用がないか監視されており、輸出管理の対象となっています。それにもかかわらず、Cobalt Strike フレームワークは、Metasploit Pro、Core Impact などの他の有料スイートを含む、このタイプのさまざまなソフトウェアの中で人気のあるオプションとなっています。このようなプラットフォームの中で、ライセンスのないユーザーや犯罪者によって使用されているのはCobalt Strikeだけではありませんが、最初の悪用にツールを使用した APT32や、フレームワークに大きく依存している同名のCobalt Groupなど、さまざまな脅威グループによって使用されています。

セキュリティテスター、そしてさらに重要なことに、悪意のある攻撃者がCobalt Strikeプラットフォームを頻繁に使用していることを考えると、Cobalt Strikeサーバーと企業ネットワーク資産への接続を認識する必要性は明らかです。

検出方法が公開されているにもかかわらず、Recorded Futureは、Cobalt Strikeサーバーがほとんどパッチが適用されていないため、フィンガープリントとその後の検出が可能になっていることを確認しています。 この方法論を他の検出と組み合わせることで、Recorded Futureは、野生で見つかったCobalt Strikeサーバーをサンプリングし、フィンガープリント方法を比較することで、防御側がこのフレームワークを最適に追跡および監視できるようにしました。 Cobalt Strike サーバーの追跡は、ブルーチームがレッドチームのアクティビティを検出し、Cobalt Strike チームサーバーを変更していない敵からのアクティビティを封じ込めるのに役立ちます。

主な判断

• Cobalt Strikeのサーバーは、特定のフィンガープリント方法をより困難にするためのパッチが適用されているにもかかわらず、かなり露出しており、比較的簡単に検出できます。 パッチがリリースされる前に動作していた多くのCobalt Strikeサーバーはシステムを更新していませんが、新しい展開ではアップグレードされたソフトウェアが使用されています。
• 最近デプロイされた Cobalt Strike サーバーは、更新された Cobalt Strike バージョン (3.12 以降) をデプロイする可能性が高く、デフォルトの TLS 証明書を引き続き使用し、信頼性の高い検出メカニズムを維持しています。
• Recorded Futureが現在のCobalt Strikeサーバーをサンプリングしたところ、過去の脅威活動とは対照的に、犯罪者と国家関係者は、おそらく他のCobalt Strikeサーバーと調和するために、または単にデフォルト設定が変更なしでうまく機能し、オペレーターが何も変更する必要性を感じていないため、パッチが適用されていないデフォルトのCobalt Strike構成を使用していることがわかりました。
• Cobalt Strikeサーバーの検出は、防御者がエンタープライズネットワークでアラートを作成するのに役立ち、レッドチーム、犯罪活動、または国家が支援する敵対者に先んじるための積極的な手段を提供します。

背景

今日のインシデント対応アナリストとセキュリティ運用アナリストにとっての主な課題は、どのセキュリティ イベントまたはアラートを優先的に確認するかを判断することです。 幸いなことに、SplunkのようなSIEMワークフローに正確な脅威インテリジェンスを適用することは、信頼できる脅威を特定するのに役立ち、セキュリティチームがより積極的な対策を講じるための重要な追加コンテキストを明らかにすることさえできます。 たとえば、アラートがSIEMに送信された場合、それはIPアドレス89.105.198[.]28, エンドポイントの 1 つから接続されました。 さて何ですか。

記録された将来のブラウザ拡張機能。

Splunk (脅威)アラートページで Recorded Future ブラウザ拡張機能 を開くと、IP 89.105.198[.]28 リスクスコア93でトップにジャンプします(この調査結果は2019年5月6日に行われ、それ以上の悪意のあるアクティビティが観察されない場合、リスクスコアは2019年5月17日に低下します)。この調査により、この IP アドレスは、Cobalt Strike リバースシェルを使用して、MegaCortex ランサムウェアキャンペーンの一環として ソフォス によって以前に報告されていたことが判明しました。

Cobalt Strike は、 攻撃者、犯罪組織 Strategic Cyber LLC の創設者である Raphael Mudge によってペネトレーション テスター向けに開発されたシミュレーション プラットフォーム。 Metasploit、NMAP、Powershell Empire などの他のプラットフォームとの相互運用性を考慮して設計されており、当初は Metasploit 用に Mudge が開発したグラフィック ユーザー インターフェイス (GUI) である Armitage を使用して実行できます。アーミテージとコバルトストライクは、情報の共有と、適切に調整されたアクションを指示および実行できるチームサーバーを中心に設計されています。

高度な機能で知られる Cobalt Strike は、多くの セキュリティ専門家 に採用されており、犯罪や 国家 によっても違法に使用されています エンティティ。 MITREが述べているように、「Cobalt Strikeのインタラクティブなエクスプロイト後の機能は、ATT&CKの手口、戦術の全範囲をカバーし、すべて単一の統合システム内で実行されます。」このフレームワークは、 脅威ランドスケープ 過去 3 年間、犯罪グループ、国家支援の攻撃者、そしてもちろん侵入テスト チームによって頻繁に使用されます。

（Cobalt Strikeの使用状況の推移。（出典 : Recorded Future））

Cobalt Strikeは専門的に保守されており、現在、ライセンスに基づいて3,500米ドルの料金で利用でき、毎年更新されています。 米国が設定した輸出規制に加えて、Strategic Cyber LLCは、正当なセキュリティ専門家へのライセンスと使用を厳密に管理し、ソフトウェアを悪意のある攻撃者の手に渡らないようにしようとしています。

Strategic Cyber LLCは、ソフトウェアのライセンス版を定期的に更新し、パッチを適用しています。 Cobalt Strikeのサーバー構成に対する最近の変更は、フレームワークが検出を回避するのを助ける試みです。 ただし、ソフトウェアの海賊版には、公式のアップデートやパッチは適用されません。

ソフトウェアのライセンスは厳しく管理されていますが、Cobalt Strike の 海賊版 が実際に公開されていることが確認されており、試用版がクラックされることが多く、地下犯罪組織のさまざまな攻撃者がそれらを取得または取引しようとしていることが観察されています。ただし、クラックされたバージョンには、バックドアなどの独自の追加「機能」が付属している場合や、何らかの形で欠けている場合があります。レイドフォーラムの1人のメンバーは、2019年4月5日にCobalt Strike 3.13(最新バージョン)のクラックされたコピーへのリンクを投稿しましたが、他のメンバーは一部の機能が欠けており、EICARなど削除すべきソフトウェアの一部が残っていると指摘しました。したがって、Cobalt Strike の正規バージョンは価値があります。たとえば、昨年、あるMazaフォーラムメンバーが、米国内の購入者に25,000米ドルを提供し、Cobalt Strikeのライセンスコピーを取得し、それをこのフォーラムメンバーに違法に譲渡したことが観察されました。

89.105.198[.]28,このIPアドレスは、MegaCortexインシデント中に、被害者のドメインコントローラー上のCobalt Strikeリバースシェルのコマンドアンドコントロールサーバーとして使用されました。 その後、ランサムウェアはPSExecを介して環境全体に配布されました。MegaCortexランサムウェアキャンペーンは、この分析の時点で活発でした。IP アドレスをさらに調査すると、Cobalt Strike サーバーのデフォルト セキュリティ証明書 を使用してトラフィックを暗号化していることが判明しました。

89.105.198[.]28Recorded Futureは、この特定のコバルトストライク活動を調査するよう促しました。これは、Cobalt Strike サーバー上で標準の事前構成された自己署名SSL/TLS証明書の一般的な使用を含む、Cobalt Strike HTTP 対応およびその他の公開情報に含まれる異常な空間に関するセキュリティ会社Fox-ITの 調査結果 を受けて、Cobalt Strikeの大規模な研究をさらに促進しました。 この証明書を展開するサーバーは、SHA256 ハッシュまたは証明書のシリアル番号によって Shodan または Censys 経由で検出できます。

デフォルトの Cobalt Strike SSL/TLS 証明書。

Cobalt Strike Team サーバーを特定するための公開方法論

2019年2月19日、Strategic Cyber LLC(Cobalt Strikeのプロデューサー)は、「Cobalt Strike Team Server Population Study」の結果を発表しました。この調査は、発見されたCobalt Strikeソフトウェアのライセンスステータスを発見し、現在使用されているソフトウェアのバージョンに加えられた重要な変更を特定して分析するために部分的に実施されました。

この調査では、野生のCobalt Strikeサーバーを特定するために使用できる複数の方法を特定しました。

• Cobalt Strike サーバーには、管理者が変更しない限り、フィンガープリントに使用できるデフォルトのセキュリティ証明書が付属しています。
• SHA256: 87f2085c32b6a2cc709b365f55873e207a9caa10bffecf2fd16d3cf9d94d390c
• シリアルナンバー:146473198
• 有効にすると、Cobalt Strike DNSサーバーは、ボゴン(偽の)IP:0.0.0.0で受信したDNSリクエストに応答します(これはCobalt Strikeサーバーに限ったことではありません)。
• Cobalt Strike Team Serverのデフォルトのコントローラーポートは50050 / TCPで、他のサーバーで開いているポートが見つかる可能性は低いです。
• Cobalt Strike の "404 Not Found" HTTP レスポンスは NanoHTTPD ウェブサーバーに固有のもので、検出できます。

全体として見ると、上記のリストの中で最も確実な方法は、デフォルトのセキュリティ証明書を使用してCobalt Strikeサーバーのフィンガープリントを作成することです。 残りの検出方法は確実性が低く、他の方法と比較すると、すべての検出方法の信頼性が高くなります。 たとえば、ポート 50050 を使用し、NanoHTTPD Web サーバーに固有の HTTP 応答も提供するサーバーは、HTTP 応答シグネチャのみを示すことが判明したサーバーよりも Cobalt Strike サーバーである可能性が高くなります。

NanoHTTPDは、オープンソースのWebサーバーフレームワークです。 バージョン 3.12 以前を実行している NanoHTTPD サーバーと Cobalt Strike サーバーは、HTTP レスポンスのヌルスペースで識別でき、"HTTP/1.1" の後には他の Web サーバーレスポンスにはない空白 (0x20) が続きます。 3.13 より前の Cobalt Strike サーバーからの HTTP レスポンスにはこの null スペースが含まれ、HTTP サーバーのレスポンスを取得できるスキャナーを使用してそれらを検索できます。 前述のヌルスペースを特定する簡単な方法は、Cobalt StrikeサーバーへのブラウザのHTTP接続のパケットキャプチャで行うことができ、余分なスペースを簡単に確認できます。

クラックされたバージョンを実行しているCobalt Strikeインスタンスは更新またはパッチが適用されていないため、この方法では、犯罪者が運営するCobalt Strikeサーバーを発見する可能性がさらに高まります。

Strategic Cyber LLC のブログ投稿では特に言及されていませんが、Cobalt Strike サーバーを特定する別の方法です。2019年1月2日、コバルトストライク3.13バージョンが発売された。Cobalt Strike のリリースノートには、以前のバージョンからの変更点の 1 つは、「HTTP ステータス対応からの無関係なスペース」の削除であると記載されています。NanoHTTPDサーバーのHTTPサーバー対応(オープン情報源、JavaベースのWebサーバー)は、2012年に初めてリリースされ、NanoHTTPDに基づいているCobalt Strike Team Serverに影響を与えました。

セキュリティ会社Fox-ITが2019年2月26日に発表したCobalt Strikeサーバーに関する 調査 では、バージョン3.13より前のサーバー(HTTP 対応に追加のnullスペースで応答)を識別する方法の詳細だけでなく、2015年から2019年にかけて観測された7,000を超えるIPのリストも提供されました 検知 Rapid7の公開データで見つかった検知手法。

Cobalt Strike サーバーからの HTTP ヘッダーに余分な null スペースを示すパケット キャプチャ。

同様に、2019年2月27日、中国のKnownsecセキュリティ研究チームは、Strategic Cyber LLCが報告したNanoHTTPD 404 Not Found 対応異常とヌルスペース異常を使用して、Cobalt Strikeサーバーを特定するために詳細に説明した ブログ を公開しました。 彼らは、関連するZoomEye検索エンジンプラットフォーム内のデータで見つかったサーバーの数は少なかったが、それでも3,000を超えるサーバーを見つけた。Knownsec は、 オープン情報源 Cobalt Strike が構築されている NanoHPPTD コードは、次のように正確に応答します。

HTTP/1.1 404 が見つかりません
コンテンツタイプ: テキスト/プレーン
日付: 日、DD Mmm YYYY HH:MM:SS GMT
コンテンツの長さ: 0

Knownsec は、この検出結果に基づいて検出ロジックを作成しました。 しかし、Knownsecはその後、一部のCobalt Strikeシステムからのレスポンスで「date」の後に「content-type」が提示されていることを発見した後、HTTPレスポンス内の順序が実際には異なる可能性があることも観察しました。

Cobalt サーバーを検出するための信頼できる方法は、詳細なネットワーク トラフィック データにアクセスできるユーザーが利用できます。Salesforceの研究者3名が開発したオープン情報源 JA3プロジェクトは、サーバーとクライアント間のTLSネゴシエーションをフィンガープリンティングすることで、不審なHTTPSトラフィックの検知を可能にします。 TLS/SSL バージョン、受け入れられる暗号スイート、および楕円曲線の詳細 (楕円曲線ポイント形式など) は、ブラウザがそのバージョン、アドオン、およびその 1 つのブラウザに固有のその他の機能によってフィンガープリントされるのと同じように、フィンガープリントできます。

JA3 署名はクライアント側用で、JA3S 署名はサーバー用です。Cobalt Strikeの場合、クライアントビーコン(Windowsソケットを使用して通信を開始する)とKali Linuxオペレーティングシステムで実行されているCobalt Strikeサーバーによって、TLSネゴシエーション用の フィンガープリント が作成されています。これらのフィンガープリントを一緒に使用して、Cobalt Strikeサーバーを確実に検出する必要があります。この検知方式は、Cobalt Strike オペレーターが「リダイレクタ」を使用することで部分的に軽減できますが、多くの Cobalt Strike サーバーではそのようなプロキシを使用していません。

JA3 および JA3S シグネチャは、Zeek/Bro や Suricata などのツールで使用できます。これらのネットワーク検知ツールからのデータは、その後、SplunkなどのSIEMに入力することができます。 JA3 および JA3S 署名は、 Salesforce の Github アカウント またはその他の 情報源から入手できます。

セキュリティチームや管理者が使用する可能性のあるMetasploit、Powershell、PsExecなどの他のツールの検出と同様に、ネットワーク防御者は、ネットワーク内からCobalt Strikeサーバーへの接続を示す証拠を見つけた場合、検出自体がユーザーの意図を特定するものではないため、デューデリジェンスを行う必要があります。 Cobalt Strikeのサーバーを、認定されたレッドチームのサーバーまたは真の敵対者のサーバーとして識別することは、検出されたトラフィックだけでは不可能な場合があります。

Fox-ITとKnownsecが異常なHTTPレスポンスを公表していると報告してからの変更点

これらの方法で特定されたCobalt Strikeサーバーの数は、2019年2月下旬にStrategic Cyber LLC、Fox-IT、KnownsecがCobalt Strikeサーバーの検出に関する情報を公開した後、減少すると予想していました。 さらに、Cobalt Strikeのオペレーターは、Strategic Cyber LLCの2月の調査で、トラフィックをプロキシするための「リダイレクター」としてApacheまたはNginxのWebサーバーを利用するように奨励されました。これにより、異常なHTTPレスポンス、デフォルトのセキュリティ証明書、およびその他の識別子を方程式から取り除くことにより、Cobalt Strikeサーバーの単純な検出が妨げられます。 正規のライセンス取得済みサーバーをバージョン 3.13 に更新すると、無関係なヌルスペース方式で検出される数が減りますが、Cobalt Strike のオペレーターが広く知られている検出方法を認識しているため、検出可能なサーバーの数が減少することも期待されます。

Insikt Groupは、HTTPレスポンスの異常なヌルスペースを検出するFox-ITの方法論を複製することにより、特定されたサーバーの顕著な減少を確認しました。 2019年2月にRapid7のデータを使用して、388台のCobalt Strikeサーバーが初めて観測されました。 この方法を使用して最初に確認されたCobalt Strikeサーバーの数は、2019年4月にわずか90でした。 ただし、これは話の一部にすぎません。この方法で見える古いCobalt Strikeサーバーの数は減少していますが、それほど大きくはありません。 Rapid7のデータで観測されたサーバーのうち441台は、2019年4月でも稼働していることが観察されており、これは2019年1月に最後に観測された387台よりも多くなっています。

Insikt Group は、Knownsec の調査を分析して異なる HTTP 検出手法で Cobalt Strike を特定することで、同じ ZoomEye 検索エンジンデータで研究を再現しました。 Insikt Groupは、2018年に稼働していたサーバーは1,580台でしたが、2019年5月までには1,053台にとどまったことを確認しました。

個々の Cobalt Strike 検出パラメーターの最近のメトリクス。 (2019年1月〜2019年5月)

前述のように、これらの HTTP 検出方法はどちらも NanoHTTPD 内の異常に基づいており、特に Cobalt Strike システムに基づいているわけではありません。 これらの方法を使用して検出されたすべてのデータ(オープンポート50050など)が裏付けデータを持っていたわけではありません。 サーバー数の変更には、他の変数も関係しています。 Cobalt StrikeのサーバーはIPを変更する場合があり、常に長期間稼働しているわけではありません。 2019年1月以降、新たに目撃されたCobalt Strikeサーバーは減少していますが、データによると、HTTPヌルスペース異常法によって検出された多数のサーバーが稼働しています。

組み合わせた検出方法を使用したCobalt Strikeの識別。 (2019年1月〜2019年5月)

この3つの検出結果の組み合わせにより、Cobalt Strikeをホストしているサーバーの信頼性を高く評価することができました - 実際、この方法で特定された6つのサーバーはすべて、以前にCobalt Strikeをホストし、さまざまなCobalt Strikeビーコンと通信していると報告されています。 デフォルトのCobalt Strikeの使用は、最良の検出方法であることが証明されています。ただし、NanoHTTPDとオープンポート50050を組み合わせて監視すると、監視するIPのフィールドを大きく絞り込むことができます。

脅威分析

Recorded Futureは、Fox-ITの方法論を使用し、アクセス可能なIPで標準発行のCobalt Strike TLS証明書の使用を探すことで、Strategic Cyber LLCが主要な検出メカニズムにパッチを適用したことを受けて、Cobalt Strikeの使用をプロファイリングしようと試みました。 今後の方法論と研究は、目に見えるCobalt Strikeサーバーを追跡し、単純な変更によっても検出を回避するCobalt Strikeサーバーを考慮に入れることはできないことに注意してください。

この調査で、Recorded Future は Fox-IT の調査結果により、Cobalt Strike の採用がより新しいバージョンに移行することを予想しており、それはある程度発生しています。Strategic Cyber LLCがこの検知に対処するためのパッチを提供し、HTTPに対応しに追加のスペースでIPアドレスを公開しているにもかかわらず、アップデート前のCobalt Strikeの展開は更新されていないようです。 フレームワークの更新の翌月には、Fox-IT の 検知方法論に基づいて新たに観測された Cobalt Strike サーバーが Rapid7 の データセットに適用されたため、最も増加しました。 これらのサーバーは平均70日間オンラインに費やしました。

しかし、この方法では、2019年2月1日に単独でアクティブだったポート1443のNanoHTTPDを使用して、AS 132839の連続するCIDR範囲で248のデバイスが検出されたため、この検出は信頼性が低いことが証明されました。 この異常を取り除いた後、データは、NanoHTTPDを使用した新しいCobalt Strikeホストの検出が著しく低下したことを示しています。 これは、全体的に Cobalt Strike の新規デプロイメントが少なかったことが原因である可能性がありますが、使用されている更新されたソフトウェアを反映している可能性もあります。

2019 年 4 月の最新データでは、以前にデプロイされた Cobalt Strike インスタンスが削除または更新されていないことがほぼ示されています。 さらに、同じデータセットに基づくと、サーバーがオンラインにとどまっていた時間の長さは、検出され続けているサーバーに目立った変化はなく、データセットの平均70日前後で推移しています。 しかし、HTTPヘッダーにヌルスペースがあることが判明した新しいCobalt Strikeサーバーは減少しました。

古いバージョンのフレームワーク(HTTPヘッダーのヌルスペースを使用)とデフォルト設定を使用してCobalt Strikeサーバーを継続的に識別することは、Cobalt Strikeサーバーの大規模な集団がクラックされたバージョンまたは盗まれたバージョンであることを示している可能性があります。 また、オペレーターがセキュリティ関連の出版物を読んでいない可能性もありますが、ほとんどのターゲットがCobalt Strikeのサーバーを検索している可能性は低く、ペイロードは依然として有効であるため、なぜ彼らの行動を変えるのか、という単純な答えかもしれません。

Cobalt Strike サーバーのサンプル

Recorded Futureは、2019年4月にアクティビティが確認されたIPアドレスのサンプルを取得し、注目されたアクティビティと検出の重複の両方を調べました。 これらのサーバーは、確認された Cobalt Strike のアクティビティ、他のマルウェアに関連付けられた Cobalt Strike サーバー、既知の脅威グループへのリンクを持つ Cobalt Strike サーバー、脅威リストやレポートにまだ名前が付けられていない未報告の Cobalt Strike サーバーなど、さまざまなカテゴリに分類されます。

使用された調査方法では、分析されたシステムがライセンスされているかどうかを判断することができず、同様に、サーバーが許可されたセキュリティテストまたは不正な攻撃を実施しているかどうかを判断することができませんでした。

Cobalt Strikeに関連する信号で重複するIPアドレスが多数見つかりました。3つともデフォルトの証明書を使用し、 Cobalt Strikeコントローラーポート 50050を開いており、以前はCobalt StrikeビーコンまたはMeterpreterリバースプロキシをホストしていることが特定されていました。裏付けとなる検知方法を使用する場合、より忠実度の高い検知が行われることをもう一度強調する必要があります。

• IPアドレス 89.105.202.58 は、標準のCobalt Strike証明書を使用していました。以前の URLscan.io の結果は、HTTP 404 Not Found 対応、コンテンツがなく、プレーンテキストの Content-Type が表示され、Shodan スキャンはポート 50050 が開いており、Cobalt Strike コントローラーをホストできることを示しています。 Twitter ユーザーの @Scumbots は以前、このサーバーが Meterpreter リバース プロキシをホストしていることを特定しており、2019 年 2 月から PasteBin でホストされている Powershell スクリプトを介して接続されました。
• 199.189.108.71 は、デフォルトの Cobalt Strike 証明書も使用し、ポート 50050 を開いており、以前に Twitter ユーザー @Scumbots によって Meterpreter リバース プロキシをホストしていることが特定されており、このプロキシも base64 でエンコードされた Powershell を使用して実行を難読化していました。

IP 31.220.43.11 は、サーバー上でポート 50050 が開いていることで裏付けられたベースラインの Cobalt Strike 証明書を使用して識別されました。Meterepreter サンプルは、コマンド アンド コントロール容量で HTTP トラフィックを IP に送信することが観察されています。Shodan のデータによると、IPには多数のポートが開いており、多くのエクスプロイトに対して脆弱であり、ホストが侵害、ハッキングを行っていることを示している可能性があります。 IP は、分析時に 1 つのドメイン cob.ozersk[.]今日。

多くのIPは、 ランサムウェア の配信とPOS マルウェアを配布するための最初の攻撃ベクトルの両方に、標準のCobalt Strike証明書を使用しており、以前はFIN6アクティビティに関連付けられていました。この分析の時点では、キャンペーンが公に燃やされたにもかかわらず、これらのコバルト ストライク チーム サーバーは両方ともアクティブでした。これは、FIN6が運用後の後片付けの必要性がないことと、運用が放棄されたスピードを物語っています。

興味深いことに、サーバーの1つは3つの方法すべてで検出できましたが、サーバーの1つはNanoHTTPDの追加スペースに対してパッチが適用されており、標準のWebサーバーが再構成されたか、攻撃者がCobalt Strikeの更新バージョンを持っていたことを示唆しています。 同じインシデントでデプロイされたCobalt Strikeサーバーの多様性は、FIN6がほとんど変更を加えずに標準のCobalt Strikeフレームワークを使用していることを示しています。

• 185.80.233.166 のサーバーは、デフォルトの Cobalt Strike セキュリティ証明書を使用します。このシステムには、デフォルトの Cobalt Strike Team Server ポート 50050/TCP も開いています。システムには mail.sexlove24[.]com、Talos テレメトリ データは 、2019 年 4 月にこのシステムとの間で送信されたメールが観察されていないことを示しています。このIPは、2019年2月にFrameworkPOSを使用したPOSシステムに対する組織的な攻撃の一環として、Morfisecによって 特定 されました。この 活動 では、FIN6グループが使用するTTP(戦術・技術・手順)、特にWMI/PowerShellを使用してラテラルムーブメントと権限昇格を行いました。
• IP 176.126.85.207 は、Fox-IT の異常なスペースとデフォルトの Cobalt Strike 証明書の使用の両方によって検出され、ポート 50050 が開いていることでデータが裏付けられました。このIPは、FIN6からのLockerGogaおよびRyuk配信と組み合わせて、Metasploit MeterpreterのリバースHTTPペイロードを配信することが 観察 されています。

2つのIPは、標準のCobalt Strike証明書を使用し、Cobalt Strike反射ローダーを使用しました。リフレクティブ DLL (動的ロード ライブラリ) ロードは、Windows DLL ローダーをバイパスして DLL をディスクに保存しないようにしながら、プロセスのメモリに DLL を挿入する方法です。この方法で挿入されたDLLは、メモリにのみ常駐するため、検出が難しい場合があります。APT40 ( TEMP.Periscope)と Wilted Tulip キャンペーンでは、Cobalt Strikeに限定されたものではなく、多くの俳優によってさまざまな手段で実施されています。リフレクティブ・ローダーの使用は、これらのグループがこれらのサーバーでアクティブであったという証拠にはなりません。この分析の時点では、どちらの IP アドレスもホスト ドメインではありません。

• IP 89.105.198.18 は、デフォルトの Cobalt Strike 証明書も使用していました。@Scumbotsによると、このIPは以前、HTTP経由でMeterpreterデータを受信するコマンドアンドコントロールサーバーとして識別されていました。Shodan からの以前のスキャン データは、 Cobalt Strike コントローラー ポート 50050 を開いていることにより、IP アドレス上に存在する Cobalt Strike サーバーを 裏付けました 。Recorded Futureのコレクションは、IPアドレス89.105.198.18に接続した2つのファイルを特定しました。2019年3月に初めて観測された。ペイロードには一貫性がありませんでした 検知 VirusTotal、おそらく少なくとも最初のファイルがUPXパックされていたことが原因でした。 ファイルの実行によるメモリダンプの検査では、どちらも Cobalt Strike リフレクティブローダーであることが判明しました。
• 3A143D038AAE9E4253ED6656BEAAAE298795A3DF20E874544C0122435EF79BC0
• 9668c17504a0d9471668DAC64B3C5C2ABFB3B186C25DC28D91AFBE95ED341002
• 同じCIDR範囲の別のIPアドレスも、デフォルトのCobalt Strike証明書(89.105.198.21)を使用していました。 この分析の時点では、IPアドレスはホストドメインではありませんでしたが、以前のスキャンデータからCobalt Strikeサーバーの存在が裏付けられていました。
• IP 106.12.204.25 は、Fox-IT の異常なスペースとデフォルトの Cobalt Strike 証明書の使用の両方によって検出されました。IPもポート50050が開いており、前述のように平文404 Not Found 対応だった。 このIPは Cobalt Strikeビーコン で 配信 されていると報告されており、VirusTotalユーザーによってAPT40に関連するCobalt Strikeリフレクティブローダーとしても 検出 されました。Recorded Futureは、APT40に関連してIPが動作していることを観測していません。

Cobalt Strikeをホストしていると特定された別の一般的なIPカテゴリでは、他のマルウェアや疑わしいアクティビティに関連する脅威アクティビティは相関していませんでしたが、ほとんど決定的な結果は得られませんでした。

• IP アドレス 91.152.8.14 は、2019 年 4 月中旬に標準の Cobalt Strike 証明書を使用しました。汎用トロイの木馬が、ポート 433 を介して HTTP メソッドを介して IP アドレスと通信することが判明しました。この IP は分析時点ではドメインをホストしていませんでしたが、forum.happyhippos[.]組織。証明書の発行者は、IPアドレスと同じ相対的な地理位置情報であるフィンランドのUusimaaのEspoo出身であると主張しました。同じ CIDR 範囲の別の IP アドレスが、 91.152.8.173 の異常な HTTP ヘッダー空間を介して検出されました。このIPは別の証明書を使用していましたが、ポート443を介した以前のShodanスキャンでは、コンテンツがなく、プレーンテキストのContent-Typeで 404 Not Found対応 が表示されており、これはCobalt Strikeサーバーの信頼度の低いシグナルです。 さらなるデータがなければ、Recorded Future はこれらの IP について結論に達することができませんでした。
• IP 99.81.122.12 は、2019 年 4 月下旬に、異常な間隔、Cobalt Strike 証明書の使用、およびコントローラー ポート 50050 が開いていることから特定されました。 このサーバーは現在非アクティブですが、以前は Cobalt Strike ビーコンとして機能し、HTTP 経由でアクセスされていました。 分析時にサーバーがドメインをホストしていませんでした。
• IP 72.14.184.90 は、汎用の Cobalt Strike 証明書も使用しました。IP アドレスは悪意のあるファイルによって接続され、HTTP 経由で URL hxxps://72.14.184[.]90/検索/ニュース/。ファイルは Cobalt Strike ビーコンとして 検出 されます。このIPアドレスは、2019年1月下旬のスピアフィッシングキャンペーンにも関与していたと されています 。Shodan のスキャン データは、サーバーに多くの脆弱性があることを示しており、これはサーバーが侵入テストのためにレンタルされているのではなく、Cobalt Strike サーバーをホストするためにサーバーが侵害されている可能性があることを示しています。
• 06f8004835c5851529403f73ad23168b1127315d02c68e0153e362a73f915c72

最後に、多くのIPは脅威活動の報告が限られていましたが、近い将来に発生する可能性のある悪意のある活動の兆候を示していました。

• Recorded Future テレメトリによると、IP 172.96.250.199 はベースラインの Cobalt Strike 証明書を使用していましたが、それに関連する脅威アクティビティはありませんでした。その後、IP アドレスは証明書を交換 して、ドメイン haqiu[.] 参照。この分析の時点では、ドメインはアクティブでもホストもされていませんでした。この IP は、不審なドメイン ssss.ppwu[.]xyz、これは、デュアル LetsEncrypt 証明書を利用しています。これらの証明書は90日間のみ有効で、その後Cloudflareサーバーにローテーションされています。これは、今後のレッドチームとの関わり、またはコバルトストライクを使用した将来の脅威活動を示している可能性があります。
• IP アドレス139.162.18.83 は、デフォルトのCobalt Strike SSL証明書を使用して特定されましたが、IPアドレスでの脅威活動やその他の奇妙な点は観察されていません。 ただし、同じCIDR範囲で、HTTPレスポンスに含まれる異常なスペースから 139.162.18.179 が特定され、デフォルトのCobalt Strike SSL証明書を使用していることがわかりました。 現在、サーバーに関連付けられている脅威アクティビティはありませんが、多数の疑わしいドメインが IP でホストされています。
• IP 124.156.106.98 もデフォルトの Cobalt Strike 証明書を使用し、Cobalt Strike コントローラー パネルに使用できるポート 50050 を開いていました。このIPは、2019年3月に観測されたコバルトストライクビーコンの 指揮統制 として観測されています。しかし、2019年5月2日基準でIPに奇妙なドメインが登録され、ホストされていたが、kongbu.koubaogangjiao[.]xyz、コバルトストライク信号がまだ生中である間。このドメインは、今後、侵入テストや悪意のある感染に使用される可能性があります。

今後の展望

Recorded Future は、既知の脅威からのシグナルをクラスター化して、脅威アクティビティのベースライン化を支援し、より一意の脅威を特定しやすくすることが重要であると考えています。 標準の Cobalt Strike 証明書の継続的な目撃情報と、3.13 より前のバージョンからの HTTP 応答の異常なスペースは、複数の署名の共同使用がアクティブな Cobalt Strike サーバーを識別するための最良の方法であることが証明されることを示しています。

スパイ活動志向のアクターは、多くの場合、大量の開発時間とリソースを自由に使える一方で、群衆に溶け込むための既得権益も持っています。 言語の壁によるアップデートの知識の欠如、現在インストールされているバージョンでの運用上の快適さ、またはアップデートのインストールを妨げるその他の変更など、意図的なトレードクラフト以外の障害がCobalt Strikeサーバーのパッチ適用を妨げる可能性があります。 Cobalt Strikeのクラックされたバージョンを使用したり、標準のCobalt Strikeインスタンスをデプロイしたりすると、脅威が混ざり合い、アトリビューションが困難になります。 さらに、フレームワークのクラックされたバージョンを実行することで、アクターは古いバージョンのCobalt Strikeに溶け込むことができます。

これらのサーバーをローリングベースで検出することで、SOCチームとIRチームがアラート機能やブロック機能を開発するためのルールを提供し、これらのサーバーと通信するホストの調査を促すことができます。