[ad_1]

کار بدی کردی
بزرگنمایی / کار بدی کردی

به لطف تحقیقی که روز چهارشنبه منتشر شد ، دولت ها ، هشیاران و هکرهای جنایتکار روش جدیدی برای هک بات نت ها با استفاده از نرم افزار حمله Cobalt Strike دارند.

Cobalt Strike یک ابزار امنیتی قانونی است که توسط آزمایشکنندگان نفوذ برای شبیه سازی فعالیت های مخرب شبکه استفاده می شود. در چند سال گذشته ، هکرهای مخرب – که به نمایندگی از یک دولت ملی کار می کنند یا در جستجوی سود هستند – به طور فزاینده ای از نرم افزار استفاده کرده اند. هم برای مدافع و هم برای مهاجم ، Cobalt Strike مجموعه ای از بسته های نرم افزاری را ارائه می دهد که به رایانه های آلوده و سرورهای مهاجمان اجازه می دهد تا به روش های شخصی شده بسیاری تعامل کنند.

اجزای اصلی ابزار امنیتی عبارتند از Cobalt Strike client – همچنین به عنوان Beacon شناخته می شود – و Cobalt Strike Team Server که دستوراتی را به رایانه های آلوده ارسال می کند و داده هایی را که آنها فیلتر می کنند دریافت می کند. مهاجم با روشن کردن یک ماشین سرور ماشین که پیکربندی شده است تا از تنظیمات سفارشی خاص استفاده کند ، مانند اینکه چند بار سرویس گیرنده باید به سرور گزارش دهد یا داده های خاصی برای ارسال دوره ای ارسال شود.

سپس مهاجم پس از سوء استفاده از آسیب پذیری ، فریب کاربر یا دسترسی به روش های دیگر ، سرویس گیرنده را بر روی یک ماشین هدف قرار می دهد. از این پس سرویس گیرنده از این سفارشی سازی ها برای حفظ ارتباط مداوم با دستگاه Team Server استفاده خواهد کرد.

ارتباطی که سرویس گیرنده را به سرور متصل می کند ، موضوع روی سرور وب نامیده می شود که ارتباط بین دو دستگاه را مدیریت می کند. محور اصلی ارتباطات “وظایفی” است که سرورها برای دستور دادن به مشتریان برای اجرای دستور ، دریافت فهرستی از فرایندها یا انجام کارهای دیگر ارسال می کنند. سپس مشتری با “پاسخ” پاسخ می دهد.

احساس فشار

محققان شرکت امنیتی SentinelOne اخیراً یک اشکال مهم در Team Server کشف کرده اند که خاموش شدن دائمی سرور به صورت آفلاین را تسهیل می کند. گال کریستول ، محقق SentinelOne ، گال کریستول ، در یک پست نوشت: این خطا با ارسال پاسخ های جعلی به سروری انجام می شود که “هر ذره از حافظه موجود را از نخ روی سرور وب C2 فشرده می کند.”

کریستول در ادامه نوشت:

این به مهاجم اجازه می دهد تا باعث از بین رفتن حافظه در سرور Cobalt Strike (“Teamserver”) شود که مانع از پاسخگویی سرور تا راه اندازی مجدد می شود. این بدان معنی است که چراغهای زنده نمی توانند با C2 خود ارتباط برقرار کنند تا اینکه اپراتورها سرور را راه اندازی مجدد نکنند.

با این حال ، راه اندازی مجدد برای محافظت در برابر این آسیب پذیری کافی نخواهد بود ، زیرا ممکن است مکرراً به سرور هدایت شود تا زمانی که وصله نشود یا پیکربندی Beacon تغییر کند.

هر یک از آنها چراغهای زنده موجود را منسوخ می کند ، زیرا تا زمانی که با پیکربندی جدید به روز نشوند ، قادر به برقراری ارتباط با سرور نخواهند بود. بنابراین ، این آسیب پذیری می تواند مانع جدی عملیات جاری شود.

تنها کاری که برای انجام حمله لازم است دانستن برخی از تنظیمات سرور است. این تنظیمات گاهی در الگوهای بدافزار موجود از سرویس هایی مانند VirusTotal تعبیه شده است. تنظیمات را می توان از هر کسی که دسترسی فیزیکی به یک سرویس گیرنده آلوده دارد دریافت کرد.

کلاه سیاه ، مراقب باشید

برای تسهیل روند ، Sentinel One یک آنالایزر منتشر می کند که پیکربندی های حاصل از نمونه های بدافزار ، پرتاب حافظه و گاهی URL هایی را که مشتریان برای اتصال به سرورها استفاده می کنند ، ضبط می کند. هنگامی که تنظیمات را انجام داد ، مهاجم می تواند از ماژول ارتباطی موجود در تجزیه و تحلیل استفاده کند تا خود را به عنوان مشتری Cobalt Strike که متعلق به سرور است تغییر دهد.

به طور کلی ، ابزار دارای موارد زیر است:

  • آشنایی با دستورالعمل های ساخته شده در مشخصات Malleable Beacon
  • تجزیه پیکربندی Beacon مستقیماً از C2 فعال (مانند اسکریپت معروف nmap)
  • کد اساسی برای ارتباط با C2 به عنوان چراغ راهنمای جعلی

سپس کلاینت جعلی می تواند پاسخ ها را به سرور ارسال کند ، حتی زمانی که سرور ابتدا وظیفه مربوطه را ارسال نکرده باشد. خطایی که به عنوان CVE-2021-36798 در نرم افزار Team Server ردیابی شده است از رد پاسخ هایی که حاوی داده های نادرست هستند جلوگیری می کند. یک مثال از این موارد ، داده های همراه با اسکرین شاتی است که سرویس گیرنده روی سرور بارگذاری می کند.

کریستول می نویسد: “با دستکاری در اندازه تصویر صفحه ، می توانیم سرور را مجبور کنیم هر مقدار حافظه را که حجم آن توسط ما کاملاً قابل کنترل است ، اختصاص دهد.” “با ترکیب همه دانش جریان ارتباطی Beacon با تجزیه و تحلیل پیکربندی ، ما همه چیز را برای جعل Beacon نیاز داریم.”

اگرچه می توان از سوءاستفاده ها علیه هکرهای کلاه سفید و هک سیاه استفاده کرد ، اما دسته دوم احتمالاً بیشترین آسیب پذیری را دارند. این به این دلیل است که اکثر حامیان امنیتی حرفه ای هزینه مجوزهای استفاده از Cobalt Strike را پرداخت می کنند ، در حالی که بسیاری از هکرهای مخرب ، نسخه های دزدی نرم افزار را دریافت می کنند.

وصله ای که HelpSystems به خالق سازنده Cobalt Strike ارائه می دهد ، قبل از فاش شدن آن به افراد نرم افزار دزدان دریایی زمان می برد. در حال حاضر در اختیار مجوز داران است.

تصویر آگهی از Getty Images

[ad_2]

منبع: tarjome-news.ir