Los gobiernos, los vigilantes y los piratas informáticos criminales tienen una nueva forma de interrumpir las redes de bots que ejecutan el software de ataque ampliamente utilizado Cobalt Strike, cortesía de una investigación publicada el miércoles.
Golpe de cobalto es una herramienta de seguridad legítima utilizada por los probadores de penetración para emular la actividad maliciosa en una red. En los últimos años, los piratas informáticos malintencionados, que trabajan en nombre de un estado-nación o en busca de ganancias, han cada vez más adoptado el software
Los componentes principales de la herramienta de seguridad son el cliente Cobalt Strike, también conocido como Beacon, y el servidor del equipo Cobalt Strike, que envía comandos a las computadoras infectadas y recibe los datos que exfiltran. Un atacante comienza poniendo en marcha una máquina que ejecuta Team Server que se ha configurado para usar personalizaciones específicas de “maleabilidad”, como la frecuencia con la que el cliente debe informar al servidor o datos específicos para enviar periódicamente.
Luego, el atacante instala el cliente en una máquina objetivo después de explotar una vulnerabilidad, engañar al usuario u obtener acceso por otros medios. A partir de ese momento, el cliente utilizará esas personalizaciones para mantener un contacto persistente con la máquina que ejecuta Team Server.
El enlace que conecta al cliente con el servidor se denomina hilo del servidor web, que maneja la comunicación entre las dos máquinas. La principal de las comunicaciones son las “tareas” que los servidores envían para indicar a los clientes que ejecuten un comando, obtengan una lista de procesos o hagan otras cosas. Luego, el cliente responde con una “respuesta”.
Sintiendo el apretón
Investigadores de la firma de seguridad SentinelOne encontraron recientemente un error crítico en el Team Server que facilita la desconexión permanente del servidor. El error funciona enviando a un servidor respuestas falsas que “exprimen cada bit de memoria disponible del hilo del servidor web de C2”, escribió Gal Kristol, investigadora de SentinelOne, en un correo.
Kristol continuó escribiendo:
Esto permitiría a un atacante causar el agotamiento de la memoria en el servidor Cobalt Strike (el “Teamserver”) haciendo que el servidor no responda hasta que se reinicie. Esto significa que las balizas en vivo no pueden comunicarse con su C2 hasta que los operadores reinician el servidor.
Sin embargo, reiniciar no será suficiente para defenderse de esta vulnerabilidad, ya que es posible apuntar repetidamente al servidor hasta que se parchee o se cambie la configuración de Beacon.
Cualquiera de estos hará que las balizas en vivo existentes queden obsoletas, ya que no podrán comunicarse con el servidor hasta que se actualicen con la nueva configuración. Por lo tanto, esta vulnerabilidad tiene el potencial de interferir gravemente con las operaciones en curso.
Todo lo que se necesita para realizar el ataque es conocer algunas de las configuraciones del servidor. Estas configuraciones a veces están integradas en muestras de malware disponibles en servicios como VirusTotal. Las configuraciones también las puede obtener cualquier persona con acceso físico a un cliente infectado.
Sombreros negros, cuidado
Para facilitar el proceso, Sentinel One publicó un analizador que captura configuraciones obtenidas de muestras de malware, volcados de memoria y, a veces, las URL que los clientes utilizan para conectarse a los servidores. Una vez en posesión de la configuración, un atacante puede usar un módulo de comunicación incluido con el analizador para hacerse pasar por un cliente Cobalt Strike que pertenece al servidor.
En total, la herramienta tiene:
- Análisis de las instrucciones de perfil maleable incrustadas de una baliza
- Análisis de la configuración de un Beacon directamente desde un C2 activo (como el popular secuencia de comandos nmap)
- Código básico para comunicarse con un C2 como una baliza falsa
El cliente falso puede enviar respuestas al servidor, incluso cuando el servidor no envió ninguna tarea correspondiente primero. Un error, registrado como CVE-2021-36798, en el software Team Server evita que rechace las respuestas que contienen datos con formato incorrecto. Un ejemplo son los datos que acompañan a una captura de pantalla que el cliente carga en el servidor.
“Al manipular el tamaño de la captura de pantalla, podemos hacer que el servidor asigne un tamaño arbitrario de memoria, cuyo tamaño es totalmente controlable por nosotros”, escribió Kristol. “Al combinar todo el conocimiento del flujo de comunicación de Beacon con nuestro analizador de configuración, tenemos todo lo que necesitamos para falsificar un Beacon”.
Si bien es cierto que los exploits se pueden usar contra los piratas informáticos de sombrero blanco y de sombrero negro por igual, es probable que esta última categoría sea la más amenazada por la vulnerabilidad. Esto se debe a que la mayoría de los defensores de la seguridad profesionales pagan licencias para usar Cobalt Strike, mientras que muchos piratas informáticos malintencionados, por el contrario, obtienen versiones pirateadas del software.
Un parche puesto a disposición por el creador de Cobalt Strike, HelpSystems, llevará tiempo antes de que se filtre a las personas que piratean el software. Ahora está disponible para los titulares de licencias.
Listado de imagen por imágenes falsas