Эксперт выпустил инструмент CobaltSpam для контратак на серверы Cobalt Strike

Эксперт выпустил инструмент CobaltSpam для контратак на серверы Cobalt Strike

CobaltSpam позволяет бомбардировать серверы Cobalt Strike поддельными данными о взломанных системах.  

Исследователь безопасности Марио Хенкель (Mario Henkel) опубликовал инструмент для «наводнения» используемых киберпреступниками серверов Cobalt Strike поддельными биконами с целью повреждения внутренних баз данных, где содержатся сведения о зараженных системах.

Как сообщил исследователь изданию The Record, инструмент CobaltSpam базируется на CobaltStrikeParser – проекте ИБ-компании SentinelOne, позволяющем получать информацию из конфигурации серверов Cobalt Strike.

Хенкель создал в оригинальном коде петлю для пинга сервера Cobalt Strike и регистрации новых биконов. Термин «биконы» используется в документации Cobalt Strike для обозначения систем, зараженных бэкдором Cobalt Strike.

Хотя изначально Cobalt Strike был создан в качестве инструмента для исследователей безопасности, который позволил бы им проводить тестирования на проникновение, за последние несколько лет он стал пользоваться огромной популярностью у хакеров. По данным Intel 471, Proofpoint и Recorded Future, в 2020 году Cobalt Strike и другой инструмент для тестирования на проникновение Metasploit были связаны с более чем четвертью C&C-серверов вредоносного ПО.

Хенкель создал CobaltSpam с целью предоставить защитникам средство для нанесения ответного удара. Идентифицировав сервер Cobalt Strike, они могут бомбардировать его поддельными данными, для того чтобы злоумышленник не мог отличить настоящие заражения от поддельных.

Поскольку Cobalt Strike обычно используется на ранних этапах атаки, «наводнение» сервера поддельными данными позволит предотвратить запуск финальной полезной нагрузки, такой как вымогательское ПО, инфостилеры или майнеры криптовалюты.

По словам Хенкеля, CobaltSpam работает очень быстро и может генерировать 1-2 поддельных бикона в секунду. Поскольку большинство вредоносных кампаний Cobalt Strike, как правило, заражают от десятков до сотен жертв, серверы могут быть за одну ночь наводнены десятками тысяч фальшивых биконов.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!