New Cobalt Strike bugs allow takedown of attackers’ servers
2021/08/04 BleepingComputer — セキュリティ研究者が、ビーコン C2 (command-and-contro) 通信チャネルの遮断や、新たなデプロイメントを阻止する、Cobalt Strike のサービス拒否 (DoS) 脆弱性を発見した。Cobalt Strike は、レッドチーム (セキュリティの専門家が、自組織のインフラを攻撃する役割で行動し、セキュリティ・ギャップや脆弱性を発見する) の攻撃フレームワークで使用するために設計された、正規のペネトレーション・テスト・ツールだ。
ただし、Cobalt Strike は、脅威アクターが侵害したデバイスへの、永続的なリモート・アクセスを提供するビーコンを展開した後の、悪意のタスクにも使用される。このビーコンを利用することで、攻撃者は侵入したサーバーにアクセスし、データの窃取を行うことや、第2段階のマルウェア・ペイロードの展開などを可能にする。
情報開示のタイムライン
04/20/2011 – 問題開示のためにヘルプシステム社と最初に連絡を取る。
04/22/2021 – 問題の詳細がヘルプシステムズ社に開示。
04/23/2021 – HelpSystems は問題を確認し、8月3日までの延長を要請。
04/28/2021 – SentinelOneは延長を受け入れた。
07/18/2021 – MITREにCVEリクエストを提出。
07/19/2021 – CVE-2021-36798 が割り当てられ。
08/02/2021 – SentinelOne は公開日を共有し、レビューのために投稿。
08/02/2021 – HelpSystems は、公開のための投稿をレビュー。
08/04/2021 – HelpSystems は、Cobalt Strike 4.4 をリリース。
攻撃者のインフラにおけるターゲット
SentinelLabs (SentinelOne の脅威研究チーム) は、Hotcobalt と呼ばれる DoS 脆弱性 CVE-2021-36798 を、Cobalt Strike の最新バージョンのサーバーで発見した。彼らの発見によると、特定の Cobalt Strike をインストールしたサーバーに対して、偽のビーコンを登録することができるという。そして、偽のタスクをサーバーに送信することで、メモリを異常消費させ、クラッシュさせることが可能になる。このクラッシュにより、すでにインストールされているビーコンと C2 サーバーとの通信不能や、侵入したシステムでの新たなビーコンのインストール失敗、展開されたビーコンを用いるレッドチーム (または悪意のチーム) で進行中のオペレーションの妨害などが生じる。
SentinelLabs は、「これにより、脅威アクターたたちの Cobalt サーバー(”Teamserver”)ではメモリ枯渇が生じ、再起動するまでサーバーが反応しなくなる。つまり、オペレーターがサーバーを再起動するまで、ライブビーコンが C2 サーバーと通信不能にいなることを意味する。しかし、再起動するだけでは、この脆弱性を防御することはできない。パッチが適用されるか、ビーコンの設定が変更されるまで、繰り返しサーバーはクラッシュすることになる」と述べている。
Cobalt Strike は、様々な脅威アクターにより多用されているため、法執行機関やセキュリティ研究者も、Hotcobalt の脆弱性を利用して悪意のインフラを破壊することができる。4月20日に SentinelLabs は、CobaltStrike の親会社である HelpSystems に対して、この脆弱性を開示した。そして、同社は本日未明にリリースした、Cobalt Strike 4.4で、この脆弱性に対処した。
RCE とソースコードの流出
CobaltStrike に影響を与える脆弱性は、今回のものが初めてではない。2016年に HelpSystems は、チームサーバーのディレクトリ・トラバーサルの脆弱性にパッチを適用し、リモートコード実行の攻撃を招いたことがある。また、2020年11月には、Cobalt Strike の搾取後ツールキットのソースコードが、GitHub リポジトリで流出したとの疑惑を、BleepingComputer が報じている。その当時に、Advanced Intel の Vitali Kremez が BleepingComputerに語ったように、流出したのは 2019年版 Cobalt Strike 4.0 の、リコンパイルされたソースコードである可能性が高い。
また、Kremez は、Cobalt Strike のソースコードがリークされた可能性について、「ツールを入手するための参入障壁がなくなり、犯罪グループが必要に応じて、コードの調達/修正を容易に行えるため、すべての防御者にとって、深刻な結果となる」と述べている。BleepingComputer では、Cobalt Strike と親会社の Help Systems に対して、ソースコードのリークが発覚した際に、その真偽を確認したが、返答はなかった。
さまざまな組織で行われるペネトレーション・テストでは、攻撃側がレッドチームで、防御側がブルーチームとなります。そして、この記事で紹介されている Cobalt Strike は、レッドチームが用いる攻撃用ツールという位置づけになり、また、何らかの漏えいで脅威アクターたちも入手し、使用しているという現状があります。最近のポスト「WellMess マルウェアと関連する C2 サーバークラスタが発見された」や「Kaseya VSA ゼロデイ攻撃に便乗する Cobalt Strike バックドアとは?」にも、Cobalt Strike が登場していますので、よろしければ ご参照ください。
IoT OT Security News 