当前位置: 首页 > 科技观察

瞄准Linux系统!攻击者改造渗透测试工具CobaltStrike兼容LinuxBeacon

时间:2023-03-22 16:27:37 科技观察

9月13日,安全研究人员发现了一个未知黑客组织制作的Linux版本的CobaltStrikeBeacon,用于在全球范围内扩大针对性攻击。这些攻击针对的是电信公司、政府机构、IT公司、金融机构和咨询公司。代号为Vermilion的威胁参与者修改了CobaltStrike的一个版本,这是一种合法的渗透测试工具,用作红队的攻击框架。CobaltStrike也被威胁行为者(通常在勒索软件攻击中丢弃)用于部署所谓的信标后的后期开发任务,这些信标提供对受感染设备的持久远程访问。使用信标,攻击者可以稍后访问受感染的服务器来收集数据或部署额外的恶意软件有效负载。虽然开发该工具是为了帮助安全公司进行渗透测试,模拟威胁行为者使用的技术,但该工具的高级功能也使其成为网络犯罪集团的最爱。随着时间的推移,CobaltStrike的破解副本已被威胁行为者获取并共享,成为网络攻击中用于数据窃取和勒索软件的最常用工具之一。但CobaltStrike一直有个弱点,就是只支持Windows设备,不包含Linuxbeacons。CobaltStrikeBeacon移植到Linux在安全公司Intezer的一份新报告中,研究人员解释了威胁行为者如何创建他们自己的CobaltStrike兼容Linux信标。使用这些信标,攻击者现在可以在Windows和Linux机器上获得持久性和远程命令执行。研究人员表示,为了避免恶意软件检测,Vermilion小组开发了VermilionStrike,这是CobaltStrikeBeacon后门的独特Linux版本。此外,该组织还重写了Beacon后门的原始Windows版本,该后门目前完全未被防病毒软件检测到。VermilionStrike具有与官方Windows信标相同的配置格式,可以与所有CobaltStrike服务器通信,但不使用任何CobaltStrike代码。这种新的Linux恶意软件也有技术重叠(相同的功能和命令和控制服务器),WindowsDLL文件暗示同一开发者。“Stealth样本在与C2服务器通信时使用CobaltStrike的命令和控制(C2)协议,并具有上传文件、运行shell命令和写入文件等远程访问功能,”Intezer说。在发布时,病毒检查器在防病毒工具中根本没有检测到该恶意软件,它是从马来西亚上传的。一旦部署在受感染的Linux系统上,VermilionStrike可以执行以下任务:更改工作目录获取当前工作目录附加/写入文件将文件上传到C2通过popen执行命令获取磁盘分区列出自8月以来连续部署的文件通过攻击期间的数据监控,Intezer还发现,自2021年8月以来,包括全球电信公司和政府机构、IT公司、金融机构和咨询公司在内的各行各业的多个组织已成为使用VermilionStrike的目标。还值得一提的是,VermilionStrike并不是CobaltStrike的Beacon到Linux的唯一端口,它使用的是geacon,这是一个基于Go的开源实现,已在过去两年公开。然而,这是第一个用于真正攻击的Linux实现。目前没有关于攻击者用于针对Linux系统的初始攻击向量的信息。但对其复杂性和活动意图的分析,以及代码从未在其他攻击中出现的事实表明,该恶意软件是由熟练的威胁参与者开发的。通过对勒索软件事件的分析,可以发现这些勒索软件不仅不断更新技术能力,而且对实体造成的损害已经严重超出公众认知范围。每个行业都不应该对勒索软件攻击抱有侥幸心理。参考链接:https://www.bleepingcomputer.com/https://therecord