新的Cobalt Strike 漏洞允许关闭攻击者的服务器

安全研究人员发现了Cobalt Strike拒绝服务(DoS)漏洞，可以阻止信标指挥控制(C2)通信通道和新的部署。

Cobalt Strike是一款合法的渗透测试工具，设计用于红队(一组安全专业人员，他们在自己组织的基础设施上充当攻击者，以发现安全漏洞和漏洞)的攻击框架。

然而，Cobalt Strike也被威胁行为者(通常在勒索软件攻击期间使用)用于部署所谓信标(beacon)后的利用任务，这些信标为他们提供对被攻击设备的持久远程访问。

利用这些信标，攻击者可以随后访问被入侵的服务器，获取数据或部署第二阶段的恶意软件载荷。

将基础设施作为目标

SentinelOne威胁研究团队在最新版本的Cobalt Strike的服务器中发现了统称为CVE-2021-36798(并称为Hotcobalt)的DoS漏洞。

他们发现，人们可以在特定的Cobalt Strike安装的服务器上注册假信标。通过向服务器发送假任务，可以耗尽可用内存从而导致服务器崩溃。

崩溃会导致已经安装的信标无法与C2服务器通信，阻止新的信标被安装在被渗透的系统上，并干扰正在进行的红队(或恶意)使用部署的信标的操作。

SentinelLabs表示:“这让恶意行为者导致Cobalt服务器(Teamserver)运行所在机器的内存耗尽，导致服务器在重启之前无法响应。”

“这意味着在操作员重新启动服务器之前，实时信标无法与其C2通信。但是，重新启动不足以抵御此漏洞，因为有可能反复瞄准服务器，直到它被修补或信标的配置是变了。”

由于Cobalt Strike也被威胁行为者大量用于各种恶意目的，执法和安全研究人员也可以利用Hotcobalt漏洞来摧毁恶意基础设施。

了解这些漏洞后，CobaltStrike在昨天早些时候发布的Cobalt Strike 4.4中解决了这些漏洞。

RCE和源代码泄露

这并不是影响CobaltStrike的第一个漏洞，在2016年，HelpSystems已经在团队服务器上修补了一个目录遍历攻击漏洞，导致远程代码执行攻击。

2020年11月，BleepingComputer报告称，Cobalt Strike后开发工具包的源代码据称在GitHub存储库中泄露。

高级英特尔的Vitali Kremez当时告诉记者，泄漏的很可能是2019年Cobalt Strike 4.0版本重新编译的源代码。

Kremez还表示，Cobalt Strike源代码可能发生泄露“对所有捍卫者都有重大影响，因为它消除了获取工具的进入阻碍，从本质上说，使犯罪团伙更容易获得和修改所需的代码。”

软件安全漏洞为网络攻击者提供了可乘之机，尤其随着应用软件种类和功能不断增加，为网络攻击提供更大的攻击面。而静态代码安全检测可以在软件开发阶段检测、查找代码语义上的缺陷和运行时缺陷，同时能发现一些运行时的安全漏洞，便于开发人员第一时间定位缺陷所在，并修复缺陷和安全漏洞，节省大量时间人力成本，同时将经济损失降至最低。

参读链接：

https://www.bleepingcomputer.com/news/security/new-cobalt-strike-bugs-allow-takedown-of-attackers-servers/