首页 > 资讯 > 科技 > 正文
2021-09-14 12:23

面向全球组织的钴打击信标的Linux实现

周一,研究人员揭开了Cobalt Strike Beacon在Linux和Windows上重新实现的新发现,它积极地将目光投向了政府、电信、信息技术和金融机构。

这个尚未被发现的渗透测试工具——代号为“Vermilion Strike”——标志着一个罕见的Linux端口,它传统上是一个基于windows的红队工具,被对手大量改造用于发动一系列有针对性的攻击。Cobalt Strike自称是一款“威胁仿真软件”,“Beacon”是一款设计用于模拟高级角色并复制其利用后行动的有效载荷。

Intezer研究人员在今天发表的一份报告中说:“隐形样本在与C2服务器通信时使用了Cobalt Strike的命令和控制(C2)协议,并具有远程访问功能,如上传文件、运行shell命令和写入文件。”该报告与黑客新闻分享。

这家以色列网络安全公司的发现来自于8月10日从马来西亚上传至VirusTotal的一个人工制品。在撰写本文时,只有两个反恶意软件引擎将该文件标记为恶意文件。

一旦安装,恶意软件在后台运行和解密的配置必要的函数,灯塔在妥协的Linux机器指纹和与远程服务器建立通信在DNS或HTTP检索base64编码和aes加密指令,允许运行任意命令,写入文件,并上传文件回服务器。

有趣的是,在调查过程中发现的其他样本揭示了该恶意软件的Windows变种,共享了用于远程霸占主机的C2域的功能重叠。Intezer还指出了间谍活动的有限范围,指出恶意软件用于特定的攻击,而不是大规模的入侵,同时还将其归因于“熟练的威胁行动者”,因为迄今为止,Vermilion Strike还没有在其他攻击中被观察到。

“Vermilion Strike和其他Linux威胁仍然是一个持续的威胁。Linux服务器在云计算中的主导地位及其持续上升促使apt修改他们的工具集,以便在现有环境中导航,”研究人员说。