瞄準(zhǔn)Linux系統(tǒng)！攻擊者改造滲透測(cè)試工具Cobalt Strike兼容Linux信標(biāo)

9月13日，安全研究人員發(fā)現(xiàn)了一個(gè)由未知黑客組織制作的Cobalt Strike Beacon Linux版本，以在全球范圍內(nèi)擴(kuò)大目標(biāo)攻擊。這些攻擊針對(duì)的是電信公司、政府機(jī)構(gòu)、IT公司、金融機(jī)構(gòu)和咨詢公司。
代號(hào)為Vermilion的威脅行為者修改了Cobalt Strike的一個(gè)版本 ，Cobalt Strike是一種合法的滲透測(cè)試工具，被用作紅隊(duì)的攻擊框架。
Cobalt Strike還被威脅行為者(通常在勒索軟件攻擊中刪除)用于部署所謂的信標(biāo)后的后利用任務(wù)，這些信標(biāo)提供對(duì)受感染設(shè)備的持久遠(yuǎn)程訪問。使用信標(biāo)，攻擊者可以晚些訪問被破壞的服務(wù)器以收集數(shù)據(jù)或部署更多的惡意軟件負(fù)載。
雖然開發(fā)該工具是為了幫助安全公司進(jìn)行滲透測(cè)試，模擬威脅參與者使用的技術(shù)，但該工具的高級(jí)功能也使其成為網(wǎng)絡(luò)犯罪組織的最愛。
隨著時(shí)間的推移，Cobalt Strike的破解副本已被威脅行為者獲取并共享，成為數(shù)據(jù)盜竊和勒索軟件的網(wǎng)絡(luò)攻擊中最常用的工具之一。但此前Cobalt Strike 一直有一個(gè)弱點(diǎn)，它只支持Windows設(shè)備，不包括Linux信標(biāo)。
Cobalt Strike Beacon移植到Linux
在安全公司Intezer的一份新報(bào)告中，研究人員解釋了威脅行為者如何自行創(chuàng)建與 Cobalt Strike兼容的Linux信標(biāo)。使用這些信標(biāo)，攻擊者現(xiàn)在可以在Windows和Linux機(jī)器上獲得持久性和遠(yuǎn)程命令執(zhí)行。
研究人員表示，為了避免惡意軟件被檢測(cè)到，Vermilion組織開發(fā)了Vermilion Strike，這是Cobalt Strike Beacon后門的獨(dú)一無二的Linux版本。此外，該組織還重新編寫了Beacon后門的原始Windows 版本，目前完全未被殺毒軟件檢測(cè)到。
Vermilion Strike帶有與官方Windows 信標(biāo)相同的配置格式，可以與所有Cobalt Strike 服務(wù)器對(duì)話，但不使用任何Cobalt Strike的代碼。這種新的Linux惡意軟件還具有技術(shù)上的重疊(相同的功能和命令和控制服務(wù)器)，Windows DLL文件提示同一個(gè)開發(fā)人員。
文章轉(zhuǎn)載自FreeBuf