Cobalt Strike悪性コードの検知方法:攻撃を受けたボットネットサーバー探索

ペネトレーションテストツールとして使われる コバルト・ストライク(Cobalt Strike)が悪意的な攻撃者によってランサムウェアの攻撃あるいは内部システムへの侵入を目的として悪用される事例がしばしば発生します。主にボットネットを活用してコバルトストライクを配布し、ランサムウェアとPC感染攻撃を犯す経路で行われます。今度の投稿では、合法的かつ悪意的な理由で Cobalt Strike悪性コード に感染したサーバーをCriminal IP検索エンジンで検知する方法を扱います。


Cobalt Strike悪性コード とは


Cobalt Strikeは有料のペネトレーションテストツールで、多くのRed Teamが攻撃シミュレーションのソフトウェアとして使います。
ペネトレーションテストツールとして使われるCobalt Strike

しかし、全てが合法的に Cobalt Strike を活用するわけではありません。サイバー攻撃者はダークウェブで共有される海賊版の Cobalt Strike を実際の攻撃行為に悪用します。なので、 Cobalt Strike はペネトレーションテストツールでありながら同時に深刻な悪性コードに分類されることもあります。

そのように、 Cobalt Strike は一般的な悪性コードとは違って合法的に配布される場合もあるので、攻撃の検知はさらに難しいです。最近は Google Cloud Threat IntelligenceチームがCobalt Strike 攻撃を検知するオープンソースのYARAルールを公開したりもしました。


Cobalt Strike悪性コードに感染したBotNet サーバーを検知


オープンソースルールに従って Cobalt Strike 攻撃の検知を行えますが、より簡単に Cobalt Strike に感染したサーバーを見つける方法があります。Criminal IPのIT資産検索でタグ・フィルターを活用することです。



Search Query : "tag: Cobalt Strike"
https://www.criminalip.io/ja/asset/search?query=tag:%20Cobalt%20Strike
Security OSINT検索エンジンのCriminal IPに「tag: Cobalt Strike」 を検索した結果

検索結果、外部に繋がったサーバーの中で Cobalt Strike に感染したサーバーは総計102個に検知されました。この102個のサーバーは既に Cobalt Strike に感染したボットネットサーバーとみなせます。

もちろん、合法的に使用された Cobalt Strike が含まれた可能性もあるため、全部攻撃だと判断することはできませんが、検索されたサーバーは内部システムへのアクセスを許可しているか、ランサムウェアに感染した可能性の高いサーバーだと言えます。


Cobalt Strike感染 サーバー国家の統計、1位は中国


Cobalt Strike に感染しているボットネットサーバーが一番多い国は中国で、全て54件です。

https://www.criminalip.io/ja/intelligence/element-analysis/search?query=tag%3A+Cobalt+Strike
Criminal IPで検知されたCobalt Strike感染サーバーの国家統計, 1位は中国である

また、次のように感染したボットネットサーバーのポートの統計を見ると、大部分80ポート、8080ポートに検知されました。
https://www.criminalip.io/ja/intelligence/element-analysis/search?query=tag%3A+Cobalt+Strike
Criminal IPで検知されたCobalt Strike感染サーバーポートの統計、
大部分が80ポートに検知された。


Cobalt Strike Beaconに感染したボットネットサーバーのIP Intelligence


Cobalt StrikeによりBeacon悪性コードが設置されているボットネットのIPアドレスをCriminal IPのIT資産検索で検索し、IP Intelligenceを追加で分析できます。
Cobalt Strikeにより Beacon悪性コードに感染した
ボットネットのIPアドレスのインテリジェンス分析結果

該当IPアドレスはInbound脅威スコアが99%のCriticalに診断されました。既に攻撃に使われたか、使われかねないからです。

Cobalt Strike タグで分類されたTCP 80ポートのバナー情報をみると、 Cobalt Strike に対する情報を確認できます。
ボットネットIPアドレスの80ポートのバナー情報、Cobalt Strike情報が含まれている。

このように、Criminal IPを活用して簡単に Cobalt Strike悪性コードに感染したサーバーを見つけることができます。検索エンジンまたは、APIで自動検知することができ、特定サーバーの感染有無をチェックするか、インバウンドIPのブロックBlacklistに感染したサーバーを追加するために使えます。

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

  • 1000 / 1000