Cobalt Strike-Nutzung explodiert unter Cyberkriminellen

  • Das legitime Sicherheitstool ist im Vergleich zum Vorjahr um 161 Prozent mehr in Cyberangriffen aufgetaucht und hat sich in der Crimeware-Welt voll etabliert.”

    Die Verwendung von Cobalt Strike – dem legitimen, kommerziell erhältlichen Tool, das von Netzwerk-Penetrationstestern verwendet wird – durch Cyberkriminelle ist durch die Decke geschossen, so die Forscher von Proofpoint, die sagen, dass das Tool jetzt “in der Crimeware-Welt zum Mainstream geworden ist.”

    Die Forscher haben im Vergleich zum Vorjahr einen Anstieg von 161 Prozent bei der Anzahl der realen Angriffe festgestellt, bei denen Cobalt Strike aufgetaucht ist. Sie haben beobachtet, dass das Tool verwendet wird, um Zehntausende von Organisationen anzugreifen, und zwar von mehr Cyberkriminellen und allgemeinen Malware-Betreibern als von Advanced Persistent Threat (APT)-Akteuren oder von solchen Betreibern, die allgemeine Commodity-Malware bevorzugen, so die Forscher in einem am Dienstag veröffentlichten Bericht.

    Dieser 161-prozentige Anstieg fand zwischen 2019 und 2020 statt, aber die Gauner haben ihren Geschmack für Cobalt Strike im Jahr 2021 nicht verloren: Es ist immer noch eine “hochvolumige Bedrohung”, so die Forscher.

    Cobalt Strike sendet Beacons aus, um Schwachstellen im Netzwerk zu erkennen. Wenn es wie vorgesehen verwendet wird, simuliert es einen Angriff. Bedrohungsakteure haben jedoch herausgefunden, wie sie es gegen Netzwerke einsetzen können, um Daten zu exfiltrieren, Malware auszuliefern und gefälschte Command-and-Control-Profile (C2) zu erstellen, die legitim aussehen und an der Erkennung vorbeigehen.

    Proofpoint ist nicht das einzige Sicherheitsunternehmen, das eine zunehmende Umwandlung von Cobalt Strike in ein Angriffstool beobachtet hat: eine Entwicklung, die sich noch verstärkt hat, nachdem der Quellcode des Tools im November 2020 von GitHub geleakt wurde. Zwei Monate nach diesem Leck, im Januar 2021, dokumentierten Forscher von Recorded Future einen Anstieg der Nutzung von geknackten oder Testversionen von Cobalt Strike, hauptsächlich durch bekannte APT-Gruppen wie APT41, Mustang Panda, Ocean Lotus und FIN7.

    Wenn es darum geht, wie Bedrohungsakteure versuchen, Hosts zu kompromittieren, wird Cobalt Strike zunehmend als anfängliche Zugangsnutzlast verwendet, im Gegensatz zu einem Tool der zweiten Stufe, das verwendet wird, nachdem die Angreifer Zugang erlangt haben, so die Forscher von Proofpoint. Tatsächlich wurde “der Großteil” der Cobalt Strike-Kampagnen im Jahr 2020 von kriminellen Angreifern durchgeführt.

    Dem Bericht zufolge hat Proofpoint bei der Zuordnung zum MITRE Att&CK-Framework gesehen, dass Cobalt Strike in Angriffsketten während des Initial Access, der Execution und der Persistence auftaucht. “Basierend auf unseren Daten schätzt Proofpoint mit hoher Zuversicht, dass Cobalt Strike unter den Bedrohungsakteuren als anfängliche Zugriffs-Nutzlast immer beliebter wird und nicht nur ein Werkzeug der zweiten Stufe ist, das die Bedrohungsakteure verwenden, sobald der Zugriff erfolgt ist, wobei kriminelle Bedrohungsakteure den Großteil der zugeschriebenen Cobalt Strike-Kampagnen im Jahr 2020 ausmachen”, schreiben die Forscher

    Die Rolle von Cobalt Strike in SolarWinds

    Cobalt Strike Beacon war eines der vielen Tools im riesigen Malware-Arsenal, das bei den ausgedehnten SolarWinds-Angriffen auf die Lieferkette eingesetzt wurde. Im Januar entlarvten Forscher eine mit SolarWinds in Verbindung stehende Malware namens Raindrop, die bei gezielten Angriffen nach der ersten Massenkompromittierung von Sunburst eingesetzt wurde. Die Forscher identifizierten Raindrop – einen Backdoor-Loader, der Cobalt Strike abwirft, um laterale Bewegungen in den Netzwerken der Opfer durchzuführen – als eines der Tools, die für Folgeangriffe verwendet wurden.

    Der Spionageangriff von SolarWinds, von dem mehrere US-Regierungsbehörden, Tech-Unternehmen wie Microsoft und FireEye und viele andere betroffen waren, begann mit einem vergifteten Software-Update, das die Sunburst-Backdoor im Frühjahr 2020 an rund 18.000 Organisationen lieferte. Nach diesem breit angelegten Angriff wählten die Bedrohungsakteure (von denen angenommen wird, dass sie Verbindungen nach Russland haben) spezifische Ziele aus, um sie weiter zu infiltrieren, was sie im Laufe mehrerer Monate taten. Die Kompromittierungen wurden im Dezember 2020 entdeckt.

    Die US-Regierung hält es für “wahrscheinlich”, dass die Angriffe vom russischen Auslandsgeheimdienst ausgingen: eine Einrichtung, die Cobalt Strike laut Proofpoint “seit mindestens 2018” im Einsatz hat.

    Das Tool gibt es seit fast einem Jahrzehnt und wurde 2012 als Antwort auf vermeintliche Unzulänglichkeiten des beliebten Metasploit-Frameworks für Penetrationstests und Hackerangriffe veröffentlicht. Genau wie Metasploit zuvor wurde Cobalt Strike schnell von Bedrohungsakteuren aufgegriffen und nachgerüstet: Im Jahr 2016 beobachteten die Forscher von Proofpoint, dass Cobalt Strike in Cyberangriffen eingesetzt wurde.

    Aber in der Vergangenheit waren diese Bedrohungsakteure ausgefeilte APT-Gruppen, wie TA423 (auch bekannt als Leviathan, APT40 oder Gladolinium). Ein Großteil der Cobalt Strike-Kampagnen, die zwischen 2016 und 2018 stattfanden, waren diese Art von gut ausgestatteten Cybercrime-Banden oder APT-Gruppen. In den darauffolgenden Jahren sank dieses Verhältnis jedoch, als nur noch 15 Prozent der Cobalt Strike-Kampagnen bekannten Bedrohungsakteuren zugeschrieben wurden.

    Laut Proofpoint sieht es in der untenstehenden Grafik so aus, als ob die Anzahl der Bedrohungen, die Cobalt Strike enthalten, gesunken ist, aber im Jahresvergleich haben die Forscher von Januar bis Juni 2021 mehr Kampagnen gesehen, die mit Cobalt Strike in Verbindung gebracht werden, als von Januar bis Juni 2020.

    [Blocked Image: https://alltechnews.de/daten/2021/06/Cobalt-Strike-Nutzung-explodiert-unter-Cyberkriminellen.jpeg]

    Anzahl der E-Mail-Nachrichten, die mit einer Cobalt Strike-Nutzlast in Verbindung gebracht werden, die im Laufe der Zeit beobachtet wurde (die Zahlen für 2021 umfassen Daten bis Mai 2021). Quelle: Proofpoint

    Wie die Gauner Cobalt Strike in die Finger bekommen

    Cyberkriminelle können Cobalt Strike dem Bericht zufolge auf mehrere Arten in die Hände bekommen: Sie können es einfach auf der Website des Anbieters kaufen, was eine Verifizierung erfordert. Neue Cobalt Strike-Lizenzen kosten laut der Cobalt Strike-Website 3.500 Dollar pro Benutzer für eine Jahreslizenz.

    Alternativ können sie eine Version im Dark Web auf Hacker-Foren kaufen; oder sie können ihre Hände an geknackte, illegale Versionen der Software bekommen. Im März 2020 wurde eine solche geknackte Version von Cobalt Strike 4.0 für Bedrohungsakteure verfügbar gemacht. Eine Ein-Jahres-Lizenz für die geknackte Version wurde Berichten zufolge für rund 45.000 US-Dollar verkauft.

    Cobalt Strike 4 wurde gerade geknackt und online gestellt, ich habe es überprüft und es ist echt.https://t.co/WsTdwJsst3 pic.twitter.com/s2ky0uM6fJ

    – Alon Gal (Under the Breach) (@UnderTheBreach) March 22, 2020

    Cobalt Strike lässt sie kauen und schrauben

    Das Tool spricht eine Vielzahl von Bedrohungsakteuren an, erklären die Forscher, da es billig und einfach ist. Es kann schnell eingesetzt und operationalisiert werden, “unabhängig von der Raffinesse der Akteure oder dem Zugang zu personellen oder finanziellen Ressourcen”, so die Forscher.

    Ein weiterer Vorteil für kriminell veranlagte Personen ist, dass Cobalt Strike sitzungsbasiert ist. Mit anderen Worten: Sie können eindringen, ihre schmutzigen Taten ausführen und wieder verschwinden, ohne Spuren zu hinterlassen: “Wenn Bedrohungsakteure auf einen Host zugreifen und eine Operation abschließen können, ohne eine fortlaufende Persistenz aufbauen zu müssen, bleiben keine Artefakte auf dem Host zurück, nachdem er nicht mehr im Speicher läuft”, beschreiben die Forscher. “Im Wesentlichen können sie es treffen und vergessen.”

    Cobalt Strike ist auch anpassbar: Es ist wie ein Maßanzug in der Welt der Malware, der es den Benutzern ermöglicht, Funktionen hinzuzufügen oder zu entfernen, um ihren Zielen gerecht zu werden oder um der Entdeckung zu entgehen. APT29, zum Beispiel, “verwendet häufig benutzerdefinierte Cobalt Strike Beacon Loader, um sich mit legitimem Datenverkehr zu vermischen oder einer Analyse zu entgehen”, erklären die Forscher.

    Das Tool eignet sich auch hervorragend zur Verschleierung, da sowohl Verteidiger als auch Angreifer das gleiche Tool verwenden. “Wenn eine Organisation ein Red Team hat, das es aktiv einsetzt, ist es möglich, dass bösartiger Datenverkehr mit legitimem verwechselt wird”, so die Forscher.

    Was die Benutzerfreundlichkeit anbelangt, so spart es raffinierten Bedrohungsakteuren die Zeit und den Aufwand, ihr eigenes Kit zu entwickeln, so die Forscher weiter: “Warum sollte man Entwicklungszyklen auf etwas Neues verwenden, wenn man bereits ein großartiges Tool für diese Aufgabe hat?”

    Der Cobalt Strike Fan Club

    Der Bericht listet nur eine kleine Auswahl der Arten von Bedrohungsakteuren auf, die mit Cobalt Strike aufgespürt wurden, darunter:

    • TA800: Eine große Crimeware-Gruppe, die Proofpoint seit Mitte 2019 verfolgt. Dieser Akteur versucht, Banking-Malware oder Malware-Loader wie The Trick und BazaLoader zu liefern und zu installieren.
    • TA547: Diese Gruppe besteht seit 2017 und ist ebenfalls hauptsächlich an der Verbreitung von Banking-Trojanern interessiert, darunter The Trick und ZLoader.
    • TA415: Ein APT-Akteur alias Barium und APT41, von dem angenommen wird, dass er mit der Volksrepublik China in Verbindung steht. Proofpoint hat diesen Akteur aufgespürt, der Mitte 2020 Cobalt Strike als Nutzlast der ersten Stufe lieferte und an vielen anderen Kampagnen beteiligt war, darunter Kampagnen gegen Fluggesellschaften in einem Supply-Chain-Angriff, der den IT-Anbieter SITA betraf.

    [Blocked Image: https://alltechnews.de/daten/2021/06/Cobalt-Strike-Nutzung-explodiert-unter-Cyberkriminellen.png]

    Angriffskette

    Die Cobalt Strike-Kampagnen sind so vielfältig wie die Betreiber, die sie durchführen, und verwenden eine Vielzahl von Ködern, Bedrohungsarten, Droppern, Nutzlasten, Angriffswegen und Anwendungsfällen. Während die Verwendung des Tools als anfängliche Nutzlast in die Höhe geschnellt ist, ist es auch als Nutzlast der zweiten Stufe immer noch beliebt. Es wurde zusammen mit Malware wie The Trick, BazaLoader, Ursnif, IcedID und vielen anderen beliebten Loadern verwendet, schreiben die Forscher von Proofpoint, wenn die erste Malware, die sich durch die Tür schleicht, typischerweise Cobalt Strike lädt und ausführt.

    Wenn die Malware direkt ausgeliefert wird, verwenden die Betreiber ein ähnlich vielfältiges Set an Techniken, darunter waffenfähige Office-Dokumente, komprimierte ausführbare Dateien, PowerShell, dynamischer Datenaustausch (DDE), HTA/HTML-Dateien und Traffic-Verteilungssysteme.

    Sobald es läuft und ein Beacon für die C2-Kommunikation eingerichtet wurde, haben die Bedrohungsakteure versucht, Netzwerkverbindungen aufzuzählen und Active Directory-Anmeldeinformationen auszuspionieren, während sie versuchen, seitlich zu einer Netzwerkressource wie einem Domain Controller vorzudringen, “was die Bereitstellung von Ransomware auf allen vernetzten Systemen ermöglicht”, so die Forscher.

    Neben der Netzwerkerkennung und dem Dumping von Anmeldeinformationen kann Cobalt Strike Beacon auch Privilegien aushebeln, zusätzliche Tools laden und ausführen und diese Funktionen in bereits laufende Host-Prozesse einschleusen, während er versucht, die Erkennung zu umgehen.

    Erwarten Sie mehr vom Gleichen

    Die Daten von Proofpoint zeigen, dass bereits Zehntausende von Organisationen mit Cobalt Strike angegriffen wurden, und es gibt anscheinend nichts, was diese steigende Zahl im Jahr 2021 verlangsamen wird.

    [Blocked Image: https://alltechnews.de/daten/2021/06/1624957377_922_Cobalt-Strike-Nutzung-explodiert-unter-Cyberkriminellen.png]

    Anzahl der Kunden, die von Bedrohungen mit Cobalt Strike angegriffen wurden. Quelle: Proofpoint.

    Es ist nicht Cobalt Strike’s Schuld

    Es gibt auch andere Red-Team-Tools, die häufiger in Proofpoint-Daten auftauchen, so der Bericht weiter: Dazu gehören Mythic, Meterpreter und das Veil Framework.

    Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint, sagte gegenüber Threatpost, dass offensive Sicherheits-Tools wie diese und Cobalt Strike nicht “von Natur aus böse” seien, aber es lohne sich dennoch zu untersuchen, “wie sich die illegale Nutzung der Frameworks unter APT-Akteuren und Cyberkriminellen gleichermaßen verbreitet hat.”

    Sie beobachtete, dass die Verwendung von öffentlich verfügbaren Tools “mit einem breiteren Trend übereinstimmt, den Proofpoint beobachtet: Bedrohungsakteure verwenden so viele legitime Tools wie möglich, einschließlich der Ausführung von Windows-Prozessen wie PowerShell und WMI [Windows Management Instrumentation]Injizieren bösartigen Code in legitime Binärdateien und nutzen häufig zulässige Dienste wie Dropbox, Google Drive, SendGrid und Constant Contact, um Malware zu hosten und zu verbreiten.

    “Dies ist eine Diskussion, die in der Informationssicherheitsbranche schon seit Jahren geführt wird. Bedrohungsakteure aus dem gesamten Crimeware- und APT-Spektrum sind jetzt vollständig mit legitimen Sicherheitstools bewaffnet, und die Teams kämpfen gegen die am besten vorbereiteten Bedrohungsakteure”, führte sie aus.

    “Unsere Daten zeigen, dass Cobalt Strike derzeit von mehr Cybercrime- und allgemeinen Commodity-Malware-Betreibern verwendet wird als von APT- und Spionage-Bedrohungsakteuren”, sagte sie abschließend. “Das bedeutet, dass es in der Crimeware-Welt zum Mainstream geworden ist. Finanziell motivierte Bedrohungsakteure sind jetzt ähnlich bewaffnet wie diejenigen, die von verschiedenen Regierungen finanziert und unterstützt werden.”

    Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com