해커, Linux용 Cobalt Strike Beacon 제작
Intezer Lab의 전문가 Vermilion Strike 발견, 해커가 이미 전 세계 조직에 대한 공격에 사용하고 있는 Cobalt Strike Beacon의 Linux 적응 변형.
코발트 스트라이크 침투 테스터와 레드 팀을 위해 만들어진 합법적인 상업적 도구입니다., 착취 및 착취 이후에 중점을 둡니다.. 운수 나쁘게, 오랫동안 해커들의 사랑을 받아온, 정부 APT 그룹에서 랜섬웨어 운영자까지.
일반 사용자는 사용할 수 없으며 정식 버전의 가격은 약 $ 3,500 설치당, 공격자는 여전히 그것을 사용하는 방법을 찾습니다 (예를 들면, 오래된 것에 의존, 해적판, 탈옥 및 미등록 버전). 그래서, ~에 따르면 인텔 471, 증거 과 기록된 미래, Cobalt Strike는 최근 몇 년 동안 한 번 이상 해킹 및 불법 복제되었습니다.. 연구원들은 또한 다음과 같이 계산했습니다. 2020, 코발트 스트라이크 및 메타스플로잇 에 있었다 25% 각종 해킹 그룹의 관제 서버.
일반적으로, 범죄자는 착취 후 Cobalt Strike를 사용합니다., 손상된 장치에 대한 지속적인 원격 액세스를 제공하는 소위 "비콘"을 배포한 후. 비콘 사용, 해커는 손상된 시스템에 액세스하여 데이터를 수집하거나 추가 맬웨어를 배포할 수 있습니다..
하나, 범죄자의 입장에서, Cobalt Strike에는 항상 한 가지 결함이 있었습니다.. 요점은 Windows 만 지원한다는 것입니다., 리눅스가 아닌. 하지만, 에 의해 판단 인테저 연구실 보고서, 이것은 이제 변경되었습니다.
처음으로, 연구원들은 올해 8월 등대의 새로운 구현을 발견하고 이 현상에 이름을 붙였습니다. 버밀리온 스트라이크. 회사는 강조합니다. 코발트 스트라이크 ELF 바이너리 바이러스 백신 솔루션에서 아직 감지되지 않았습니다..
원래, Vermilion Strike는 Windows Beacon과 동일한 구성 형식을 사용합니다., 모든 Cobalt Strike 서버와 통신할 수 있습니다., 그러나 Cobalt Strike 코드를 사용하지 않습니다.. 더 나쁜, 전문가들은 동일한 개발자가 탐지를 더 잘 피하기 위해 원래 Windows 비콘을 다시 작성했다고 생각합니다..
손상된 시스템에 배포되면, Vermilion Strike는 다음 작업을 수행할 수 있습니다.:
- 작업 디렉토리 변경;
- 현재 작업 디렉토리 가져오기;
- 붙이다 / 파일에 쓰기;
- 명령 및 제어 서버에 파일 업로드;
- popen을 통해 명령 실행;
- 디스크 파티션 가져오기;
- 파일 목록 가져오기.
에서 제공하는 원격 분석 사용 맥아피 엔터프라이즈 ATR, 연구원들은 Vermilion Strike가 8월부터 공격에 사용되었다는 것을 알아냈습니다. 2021. 범죄자들은 다양한 회사와 조직을 표적으로 삼습니다., 통신 및 정부 기관에서 IT 기업에 이르기까지, 전 세계 금융기관 및 컨설팅 회사.
우리가 또한 바이오패스 맬웨어는 OBS Studio 스트리밍 소프트웨어를 사용하여 피해자 화면을 기록합니다..