ペネトレーションテストツールとして使われるコバルト・ストライク(Cobalt Strike)が悪意的な攻撃者によってランサムウェアの攻撃あるいは内部システムへの侵入を目的として悪用される事例がしばしば発生します。主にボットネットを活用してコバルトストライクを配布し、ランサムウェアとPC感染攻撃を犯す経路で行われます。今度の投稿では、合法的かつ悪意的な理由で Cobalt Strike悪性コード に感染したサーバーをCriminal IP検索エンジンで検知する方法を扱います。
Cobalt Strike悪性コード とは
Cobalt Strikeは有料のペネトレーションテストツールで、多くのRed Teamが攻撃シミュレーションのソフトウェアとして使います。
しかし、全てが合法的に Cobalt Strike を活用するわけではありません。サイバー攻撃者はダークウェブで共有される海賊版の Cobalt Strike を実際の攻撃行為に悪用します。なので、 Cobalt Strike はペネトレーションテストツールでありながら同時に深刻な悪性コードに分類されることもあります。
そのように、 Cobalt Strike は一般的な悪性コードとは違って合法的に配布される場合もあるので、攻撃の検知はさらに難しいです。最近は Google Cloud Threat IntelligenceチームがCobalt Strike 攻撃を検知するオープンソースのYARAルールを公開したりもしました。
Cobalt Strike悪性コードに感染したBotNet サーバーを検知
オープンソースルールに従って Cobalt Strike 攻撃の検知を行えますが、より簡単に Cobalt Strike に感染したサーバーを見つける方法があります。Security OSINT 検索エンジンであるCriminal IPのIT資産検索でタグ・フィルターを活用することです。
- https://www.criminalip.io/ja/asset/search?query=tag:%20Cobalt%20Strike
- Search Query : “tag: Cobalt Strike”
検索結果、外部に繋がったサーバーの中で Cobalt Strike に感染したサーバーは総計102個に検知されました。この102個のサーバーは既に Cobalt Strike に感染したボットネットサーバーとみなせます。
もちろん、合法的に使用された Cobalt Strike が含まれた可能性もあるため、全部攻撃だと判断することはできませんが、検索されたサーバーは内部システムへのアクセスを許可しているか、ランサムウェアに感染した可能性の高いサーバーだと言えます。
Cobalt Strike感染 サーバー国家の統計、1位は中国
Cobalt Strike に感染しているボットネットサーバーが一番多い国は中国で、全て54件です。-
また、次のように感染したボットネットサーバーのポートの統計を見ると、大部分80ポート、8080ポートに検知されました。
Cobalt Strike Beaconに感染したボットネットサーバーのIP Intelligence
Cobalt StrikeによりBeacon悪性コードが設置されているボットネットのIPアドレスをCriminal IPのIT資産検索で検索し、IP Intelligenceを追加で分析できます。
該当IPアドレスはInbound脅威スコアが99%のCriticalに診断されました。既に攻撃に使われたか、使われかねないからです。
Cobalt Strike タグで分類されたTCP 80ポートのバナー情報をみると、 Cobalt Strike に対する情報を確認できます。
このように、Security OSINT検索エンジンのCriminal IPを活用して簡単に Cobalt Strike悪性コードに感染したサーバーを見つけることができます。検索エンジンまたは、APIで自動検知することができ、特定サーバーの感染有無をチェックするか、インバウンドIPのブロックBlacklistに感染したサーバーを追加するために使えます。