3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

Cobalt Strike悪性コードの検知方法:攻撃を受けたボットネットサーバー探索

Last updated at Posted at 2022-12-02

ペネトレーションテストツールとして使われるコバルト・ストライク(Cobalt Strike)が悪意的な攻撃者によってランサムウェアの攻撃あるいは内部システムへの侵入を目的として悪用される事例がしばしば発生します。主にボットネットを活用してコバルトストライクを配布し、ランサムウェアとPC感染攻撃を犯す経路で行われます。今度の投稿では、合法的かつ悪意的な理由で Cobalt Strike悪性コード に感染したサーバーをCriminal IP検索エンジンで検知する方法を扱います。

Cobalt Strike悪性コード とは

Cobalt Strikeは有料のペネトレーションテストツールで、多くのRed Teamが攻撃シミュレーションのソフトウェアとして使います。
Cobalt Strike_1.png
しかし、全てが合法的に Cobalt Strike を活用するわけではありません。サイバー攻撃者はダークウェブで共有される海賊版の Cobalt Strike を実際の攻撃行為に悪用します。なので、 Cobalt Strike はペネトレーションテストツールでありながら同時に深刻な悪性コードに分類されることもあります。

そのように、 Cobalt Strike は一般的な悪性コードとは違って合法的に配布される場合もあるので、攻撃の検知はさらに難しいです。最近は Google Cloud Threat IntelligenceチームがCobalt Strike 攻撃を検知するオープンソースのYARAルールを公開したりもしました。

Cobalt Strike悪性コードに感染したBotNet サーバーを検知

オープンソースルールに従って Cobalt Strike 攻撃の検知を行えますが、より簡単に Cobalt Strike に感染したサーバーを見つける方法があります。Security OSINT 検索エンジンであるCriminal IPのIT資産検索でタグ・フィルターを活用することです。

検索結果、外部に繋がったサーバーの中で Cobalt Strike に感染したサーバーは総計102個に検知されました。この102個のサーバーは既に Cobalt Strike に感染したボットネットサーバーとみなせます。

もちろん、合法的に使用された Cobalt Strike が含まれた可能性もあるため、全部攻撃だと判断することはできませんが、検索されたサーバーは内部システムへのアクセスを許可しているか、ランサムウェアに感染した可能性の高いサーバーだと言えます。

Cobalt Strike感染 サーバー国家の統計、1位は中国

Cobalt Strike に感染しているボットネットサーバーが一番多い国は中国で、全て54件です。-

また、次のように感染したボットネットサーバーのポートの統計を見ると、大部分80ポート、8080ポートに検知されました。

Cobalt Strike Beaconに感染したボットネットサーバーのIP Intelligence

Cobalt StrikeによりBeacon悪性コードが設置されているボットネットのIPアドレスをCriminal IPのIT資産検索で検索し、IP Intelligenceを追加で分析できます。
Cobalt Strike_4.png
該当IPアドレスはInbound脅威スコアが99%のCriticalに診断されました。既に攻撃に使われたか、使われかねないからです。
Cobalt Strike タグで分類されたTCP 80ポートのバナー情報をみると、 Cobalt Strike に対する情報を確認できます。
Cobalt Strike_6.png
このように、Security OSINT検索エンジンのCriminal IPを活用して簡単に Cobalt Strike悪性コードに感染したサーバーを見つけることができます。検索エンジンまたは、APIで自動検知することができ、特定サーバーの感染有無をチェックするか、インバウンドIPのブロックBlacklistに感染したサーバーを追加するために使えます。

3
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?