日前,渗透测试工具Cobalt Strike爆出一个趣味的漏洞,因为该漏洞的补丁包仅发给原版用户,因而对这些应用该专用工具的盗用用户,包含总数巨大的丧尸网络系统,可能由于无法按时修补漏洞而遭遇被“进攻”的危害。
大家都知道,Cobalt Strike是网站渗透测试工作人员用于仿真模拟互联网中故意主题活动的合理合法安全工具。在过去的两年中,各种各样网络黑客犯罪团伙已经愈来愈多地应用此软件。针对防御者和网络攻击而言,Cobalt Strike给予了一个完全的程序包结合,容许受传染的电脑和网络攻击网络服务器以相对高度可定做的形式实现互动。
Cobalt Strike的关键部件是Cobalt Strike客户端(也称之为 Beacon)和Cobalt Strike精英团队网络服务器(Team Server),后面一种向受传染的电子计算机推送指令并接受他们泄漏的数据信息。网络攻击最先运行一台运作Team Server的设备,该机器已配备为应用特殊的“可塑性”自定,例如自定义手机客户端向网络服务器汇报的次数或按时推送特殊数据信息。
随后网络攻击在运用漏洞、蒙骗用户或根据其它方法获得访问限制后,将手机客户端安裝在总体目标设备上。下面,手机客户端将采用这种自定来维持与运作Team Server设备的长久联络。
将手机客户端联接到云服务器的连接称之为Web服务端进程,它解决两部设备中间的通讯。通信中的重要内容是服务器发送的“每日任务”,以标示手机客户端运行指令、获得过程目录或运行其它实际操作。随后手机客户端以“回应”开展回应。
安全性企业SentinelOne的分析工作人员Gal Kristal在Team Server中看到了一个明显的漏洞,可以比较容易地使网络服务器离线。该研究者表明:“该漏洞的基本工作原理是推送网络服务器虚报回应,从C2的Web服务端进程中压榨全部可用内存。”
实行进攻需要的仅仅掌握一些服务器的配置。这种设定有时候会置入到VirusTotal等服务项目带来的恶意程序样版中。一切可以物理学浏览受感柒手机客户端的人都能够得到这种配备。
为了更好地简单化这一全过程,Sentinel One公布了一个在线解析,可以捕获从恶意程序样版、运行内存存贮及其手机客户端用以连接网络的URL中得到的配备。一旦了解了这种设定,网络攻击就可以应用在线解析附加的通讯控制模块装扮成归属于云服务器的Cobalt Strike客户端。
据统计,该专用工具可以:
- 分析Beacon的内嵌式Malleable环境变量表明
- 立即从运动的C2分析信标的配备(如时髦的nmap脚本制作)
- 做为假信标与C2通讯的基本上编码
即使网络服务器沒有先推送对应的每日任务,假手机客户端还可以推送网络服务器回应。Team Server软件中的一个漏洞(识别码为CVE-2021-36798)阻拦其回绝包括文件格式不正确的数据资料的回应。一个实例是手机客户端上传至网络服务器的屏幕截屏附加的数据信息。
“根据控制屏幕截屏的尺寸,我们可以让网络服务器分派随意尺寸的运行内存,其尺寸彻底由大家操纵,根据将Beacon通讯流的全部专业知识与人们的配备在线解析紧密结合,大家有着仿冒Beacon需要的一切。”Kristal写到。
尽管这一漏洞理论上可以一起用于进攻白帽黑客和黑帽黑客,但有意思的是,后面一种很有可能最易于遭受漏洞的危害。这是由于大部分技术专业的安全性维护者都订购了Cobalt Strike的许可证书,而比较之下,很多故意网络黑客都是在应用此软件的盗用版本号。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章