漏洞暴露了成千上万个恶意C&C服务器的位置

网络犯罪分子使用的工具中的漏洞现在正在帮助研究人员揭示成千上万个恶意软件命令与控制(C&C)服务器的位置。

自今年年初以来已修补的漏洞影响了Cobalt Strike,这是安全研究人员用来模拟网络攻击的合法渗透测试工具。

Cobalt Strike已经存在了十多年,但在过去的五年中,它也逐渐被网络犯罪组织所采用。

恶意软件帮派和国家级网络间谍团体已使用Cobalt Strike,因为它具有简单而高效的客户端-服务器架构。

网络犯罪分子使用Cobalt Strike托管其C&C服务器,然后通过它们在受感染主机上植入的Cobalt“信标”将恶意软件部署在公司网络上。

在过去的几年中,Cobalt Strike逐渐成为许多威胁参与者的首选工具包,例如FIN6和FIN7(Carbanak)网络犯罪帮派,以及民族国家的黑客,例如APT29(Cozy Bear)。

但是所有这些黑客组织都不知道的是Fox-IT研究人员发现了Cobalt Strike服务器组件中的错误。骗子基于基于Java的Web服务器NanoHTTPD构建,不知道它包含一个错误,该错误使Fox-IT自2015年以来就可以对其进行跟踪。

根据Fox-IT研究人员的说法,NanoHTTPD服务器意外地在服务器的HTTP响应中添加了额外的空间,如下图所示。

这些额外的空白使Fox-IT多年来可以检测信标与其C&C服务器之间的Cobalt Strike通信,直到2019年1月2日,当时Cobalt Strike开发人员修补了该错误并删除了版本3.13中的多余空间。

该公司在本周的博客中说:“在2015-01到2019-02期间,Fox-IT总共观察到7718台独特的Cobalt Strike团队服务器或NanoHTTPD主机。”

由于此问题已得到修补,Fox-IT研究人员揭示了此小技巧,以及一列曾经或仍在托管Cobalt Strike C&C服务器的历史IP地址。

该公司希望安全团队使用此列表检查其IP地址的网络日志,并确定过去或当前的安全漏洞。

其中一些IP地址可能属于安全公司出于测试目的托管的合法Cobalt Strike实例,但Fox-IT认为其中许多也来自黑客组织。

他们说,粗略检查了他们的7700多个IP地址列表,发现与中国APT10政府黑客部门,Bokbot银行木马绑定的恶意C&C服务器以及由Cobalt Group(也称为FIN7或Carbanak)的残余物管理的服务器。

运行ZoomEye IoT搜索引擎的中国网络安全公司KnownSec 404 Team通过确定3,643台基于Cobalt Strike NanoHTTPD的服务器仍在运行中,证实了Fox-IT的发现,其中86%的服务器也在Fox-IT上该公司表示。

Fox-IT表示,随着对服务器进行修补,当前对多余空格的扫描变得越来越少。

但是,该公司表示,大多数威胁行为者倾向于使用盗版,破解和未注册的Cobalt Strike软件,因此将在很长一段时间内保持未打补丁的状态。

由于合法拥有的服务器将收到Cobalt Strike修补程序,因此在未来的扫描过程中将出现的大多数服务器很可能是恶意软件操作的一部分。