漏洞暴露了成千上萬個惡意C＆C服務器的位置

網(wǎng)絡犯罪分子使用的工具中的漏洞現(xiàn)在正在幫助研究人員揭示成千上萬個惡意軟件命令與控制(C&C)服務器的位置。

自今年年初以來已修補的漏洞影響了Cobalt Strike，這是安全研究人員用來模擬網(wǎng)絡攻擊的合法滲透測試工具。

Cobalt Strike已經(jīng)存在了十多年，但在過去的五年中，它也逐漸被網(wǎng)絡犯罪組織所采用。

惡意軟件幫派和國家級網(wǎng)絡間諜團體已使用Cobalt Strike，因為它具有簡單而高效的客戶端-服務器架構。

網(wǎng)絡犯罪分子使用Cobalt Strike托管其C&C服務器，然后通過它們在受感染主機上植入的Cobalt“信標”將惡意軟件部署在公司網(wǎng)絡上。

在過去的幾年中，Cobalt Strike逐漸成為許多威脅參與者的首選工具包，例如FIN6和FIN7(Carbanak)網(wǎng)絡犯罪幫派，以及民族國家的黑客，例如APT29(Cozy Bear)。

但是所有這些黑客組織都不知道的是Fox-IT研究人員發(fā)現(xiàn)了Cobalt Strike服務器組件中的錯誤。騙子基于基于Java的Web服務器NanoHTTPD構建，不知道它包含一個錯誤，該錯誤使Fox-IT自2015年以來就可以對其進行跟蹤。

根據(jù)Fox-IT研究人員的說法，NanoHTTPD服務器意外地在服務器的HTTP響應中添加了額外的空間，如下圖所示。

這些額外的空白使Fox-IT多年來可以檢測信標與其C&C服務器之間的Cobalt Strike通信，直到2019年1月2日，當時Cobalt Strike開發(fā)人員修補了該錯誤并刪除了版本3.13中的多余空間。

該公司在本周的博客中說：“在2015-01到2019-02期間，F(xiàn)ox-IT總共觀察到7718臺獨特的Cobalt Strike團隊服務器或NanoHTTPD主機。”

由于此問題已得到修補，F(xiàn)ox-IT研究人員揭示了此小技巧，以及一列曾經(jīng)或仍在托管Cobalt Strike C&C服務器的歷史IP地址。

該公司希望安全團隊使用此列表檢查其IP地址的網(wǎng)絡日志，并確定過去或當前的安全漏洞。

其中一些IP地址可能屬于安全公司出于測試目的托管的合法Cobalt Strike實例，但Fox-IT認為其中許多也來自黑客組織。

他們說，粗略檢查了他們的7700多個IP地址列表，發(fā)現(xiàn)與中國APT10政府黑客部門，Bokbot銀行木馬綁定的惡意C&C服務器以及由Cobalt Group(也稱為FIN7或Carbanak)的殘余物管理的服務器。

運行ZoomEye IoT搜索引擎的中國網(wǎng)絡安全公司KnownSec 404 Team通過確定3,643臺基于Cobalt Strike NanoHTTPD的服務器仍在運行中，證實了Fox-IT的發(fā)現(xiàn)，其中86%的服務器也在Fox-IT上該公司表示。

Fox-IT表示，隨著對服務器進行修補，當前對多余空格的掃描變得越來越少。

但是，該公司表示，大多數(shù)威脅行為者傾向于使用盜版，破解和未注冊的Cobalt Strike軟件，因此將在很長一段時間內(nèi)保持未打補丁的狀態(tài)。

由于合法擁有的服務器將收到Cobalt Strike修補程序，因此在未來的掃描過程中將出現(xiàn)的大多數(shù)服務器很可能是惡意軟件操作的一部分。