Un espacio anómalo lleva a la identificación de los servidores de Cobal Striker.

0
76

Una vulnerabilidad en un software utilizado por los cibercriminales ha permitido revelar la ubicación de miles de servidores de mando y control o C&C (del inglés ‘command and control’) de malware.

El 2 de enero de 2019 fue liberada la versión 3.13 de Cobalt Strike, la cual contenía una solución para un “espacio extraño”. Este espacio en blanco poco común en sus respuestas de servidor representa una de las características que Fox-IT ha aprovechado para identificar, con gran facilidad, los Servidores de Cobalt Strike, durante el último año y medio. Fox-IT a publicado una lista completa de servidores para que los lectores comparen con los registros y controles de seguridad de su infraestructura.

Cobalt Strike es un framework diseñado para la simulación de adversarios. Es comúnmente utilizado por los auditores de seguridad, para probar la resistencia de una organización contra ataques dirigidos.

Imagen de cobaltstrike.com

Aunque Cobalt Strike está diseñado para la simulación de adversarios, de forma un tanto irónica, el marco ha sido adoptado por un número cada vez mayor de actores de amenazas maliciosas: desde criminales con motivaciones financieras como Navigator/FIN7 hasta grupos vinculados al espionaje gubernamental como APT29.

Identificando los Servidores de Equipo de Cobalt Strike

Uno de los analistas de InTELL de Fox-IT , con un ojo entrenado para detectar anomalías en el encabezado HTTP, descubrió un espacio inusual en la respuesta de un servidor del equipo Cobalt Strike en una de nuestras investigaciones globales sobre actividad maliciosa. Si bien esto puede parecer irrelevante para un observador casual, detalles como estos pueden hacer una diferencia sustancial.

El servidor web del servidor del equipo en Cobalt Strike se basa en NanoHTTPD , un servidor web de código abierto escrito en Java. Sin embargo, este servidor web involuntariamente devuelve un espacio en blanco excedente en todas sus respuestas HTTP. Es difícil verlo a primera vista, pero el espacio en blanco está en todas las respuestas HTTP del servidor web Cobalt Strike:

El hecho de que la eliminación de este espacio se documente en el registro de cambios nos lleva a creer que los desarrolladores de Cobalt Strike se han dado cuenta de las implicaciones de dicho espacio en la respuesta del servidor y su posible valor para los equipos de seguridad.

La entrada del registro de cambios resaltada anteriormente se refiere a que el espacio eliminado es «extraño», en un sentido literal, lo que significa que no es pertinente o irrelevante. Debido a su importancia demostrada como mecanismo de toma de huellas dactilares, aquí se discute esta descripción.

Escaneo y resultados

En total, Fox-IT ha observado 7718 servidores únicos del equipo Cobalt Strike o hosts NanoHTTPD entre el período de 2015-01 y 2019-02, cuando se basa en los datos actuales (a partir del 26 de febrero de 2019) de los conjuntos de datos de sondas HTTP y HTTPS de Rapid7 Labs .

La tabla a continuación contiene varios ejemplos de servidores del equipo de Cobalt Strike, utilizados por actores de amenazas maliciosas:

Dirección IPPrimera vistaUltima vez vistoActor
95.128.168.2272018/04/242018/05/22APT10
185.82.202.2142018/04/242018/09/11Bokbot
206.189.144.1292018/06/052018/07/03Grupo de cobalto

La lista completa de los servidores del equipo de Cobalt Strike identificados mediante este método se puede encontrar en el siguiente repositorio de Fox-IT GitHub .

Es importante destacar que la lista puede contener servidores legítimos, por lo que es importante validarlos antes de bloquear cualquiera de estas IPs.

Más información:

Identifying Cobalt Strike team servers in the wild
https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/

Historical list of {Cobalt Strike,NanoHTTPD} servers
https://github.com/fox-it/cobaltstrike-extraneous-space/

Arrestado el líder detrás de Cobalt y Carbanak
https://unaaldia.hispasec.com/2018/03/arrestado-el-lider-detras-de-cobalt-y-carbanak.html

Dejar respuesta

Please enter your comment!
Please enter your name here