ペネトレーションテストツールとして使われる コバルト・ストライク(Cobalt Strike)が悪意的な攻撃者によってランサムウェアの攻撃あるいは内部システムへの侵入を目的として悪用される事例がしばしば発生します。主にボットネットを活用してコバルトストライクを配布し、ランサムウェアとPC感染攻撃を犯す経路で行われます。今度の投稿では、合法的かつ悪意的な理由で Cobalt Strike悪性コード に感染したサーバーをCriminal IP検索エンジンで検知する方法を扱います。
Cobalt Strike悪性コード とは
Cobalt Strikeは有料のペネトレーションテストツールで、多くのRed Teamが攻撃シミュレーションのソフトウェアとして使います。
ペネトレーションテストツールとして使われるCobalt Strike
しかし、全てが合法的に Cobalt Strike を活用するわけではありません。サイバー攻撃者はダークウェブで共有される海賊版の Cobalt Strike を実際の攻撃行為に悪用します。なので、 Cobalt Strike はペネトレーションテストツールでありながら同時に深刻な悪性コードに分類されることもあります。
そのように、 Cobalt Strike は一般的な悪性コードとは違って合法的に配布される場合もあるので、攻撃の検知はさらに難しいです。最近は Google Cloud Threat IntelligenceチームがCobalt Strike 攻撃を検知するオープンソースのYARAルールを公開したりもしました。
Cobalt Strike悪性コードに感染したBotNet サーバーを検知
オープンソースルールに従って Cobalt Strike 攻撃の検知を行えますが、より簡単に Cobalt Strike に感染したサーバーを見つける方法があります。Criminal IPのIT資産検索でタグ・フィルターを活用することです。
https://www.criminalip.io/ja/asset/search?query=tag:%20Cobalt%20Strike
Security OSINT検索エンジンのCriminal IPに「tag: Cobalt Strike」 を検索した結果
検索結果、外部に繋がったサーバーの中で Cobalt Strike に感染したサーバーは総計102個に検知されました。この102個のサーバーは既に Cobalt Strike に感染したボットネットサーバーとみなせます。
もちろん、合法的に使用された Cobalt Strike が含まれた可能性もあるため、全部攻撃だと判断することはできませんが、検索されたサーバーは内部システムへのアクセスを許可しているか、ランサムウェアに感染した可能性の高いサーバーだと言えます。
Cobalt Strike感染 サーバー国家の統計、1位は中国
Cobalt Strike に感染しているボットネットサーバーが一番多い国は中国で、全て54件です。
https://www.criminalip.io/ja/intelligence/element-analysis/search?query=tag%3A+Cobalt+Strike
Criminal IPで検知されたCobalt Strike感染サーバーの国家統計, 1位は中国である
また、次のように感染したボットネットサーバーのポートの統計を見ると、大部分80ポート、8080ポートに検知されました。
https://www.criminalip.io/ja/intelligence/element-analysis/search?query=tag%3A+Cobalt+Strike
Criminal IPで検知されたCobalt Strike感染サーバーポートの統計、
大部分が80ポートに検知された。
大部分が80ポートに検知された。
Cobalt Strike Beaconに感染したボットネットサーバーのIP Intelligence
Cobalt StrikeによりBeacon悪性コードが設置されているボットネットのIPアドレスをCriminal IPのIT資産検索で検索し、IP Intelligenceを追加で分析できます。
Cobalt Strikeにより Beacon悪性コードに感染した
ボットネットのIPアドレスのインテリジェンス分析結果
ボットネットのIPアドレスのインテリジェンス分析結果
該当IPアドレスはInbound脅威スコアが99%のCriticalに診断されました。既に攻撃に使われたか、使われかねないからです。
Cobalt Strike タグで分類されたTCP 80ポートのバナー情報をみると、 Cobalt Strike に対する情報を確認できます。
ボットネットIPアドレスの80ポートのバナー情報、Cobalt Strike情報が含まれている。
このように、Criminal IPを活用して簡単に Cobalt Strike悪性コードに感染したサーバーを見つけることができます。検索エンジンまたは、APIで自動検知することができ、特定サーバーの感染有無をチェックするか、インバウンドIPのブロックBlacklistに感染したサーバーを追加するために使えます。
関連しては 暗号通貨採掘悪性コードに感染したマイナーボットサーバーを検知する方法および分析の投稿 をご参照ください。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja
ご参照
▶ https://blog.criminalip.io/ja/2022/06/24/cryptojacking/
0コメント