В открытом доступе опубликовали предполагаемый исходный код инструментария Cobalt Strike

Дата: 12.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
В открытом доступе опубликовали предполагаемый исходный код инструментария Cobalt Strike

Исходный код популярного и активно используемого набора инструментов для постэксплуатации Cobalt Strike предположительно просочился в открытый доступ в репозитории GitHub.

Cobalt Strike – легитимный набор инструментов для тестирования на проникновение, позволяющий доставить на атакуемую систему полезную нагрузку и управлять ею, выполнять сценарии PowerShell, осуществлять эскалацию привилегий. Инструмент пользуется большой популярностью среди киберпреступников, которые применяют взломанные версии для получения постоянного удаленного доступа к скомпрометированной системе. Cobalt Strike часто применяется при проведении атак программ-вымогателей.

Около двух недель назад на GitHub был создан репозиторий, являющийся, с высокой долей вероятности, исходным кодом Cobalt Strike 4.0:

В открытом доступе опубликовали предполагаемый исходный код инструментария Cobalt Strike

Виталий Кремез из компании Advanced Intel, который изучил исходный код, отметил, что код Java, по его мнению, был декомплирован вручную, после чего были исправлены все зависимости и удалена проверка лицензии, чтобы ее можно было скомпилировать. С момента публикации репозиторий был разветвлен 172 раза, что сделало практически невозможным реализацию процесса сдерживания распространения исходного кода.

Виталий Кремез прокомментировал случившееся: «Вероятное раскрытие повторно скомпилированного исходного кода Cobalt Strike 4.0 2019 года имеет значительные последствия для всех специалистов по кибербезопасности, потому что теперь устраняются барьеры на пути к получению инструментов. Хакерские группы могут изменять код, если необходимо, буквально «на лету».

ИБ-эксперт из компании Advanced Intel также заметил, что утечка Cobalt Strike открывает дверь для возможностей дополнительной модернизации этого инструмента киберпреступниками, как это происходило со многими утечками вредоносного инструментария. Например, как в случае с Zeus 2.0.8.9.

Cobalt Strike считается одним из лучших фреймворков для эксплуатации и постэксплуатации. В качестве пейлоада применяется beacon, у которого есть возможности фриза и обфускации для обхода антивирусного ПО. Есть поддержка миграции в процессы. Часто используется в качестве сервера С2. Cobalt Strike является коммерческим продуктом. Предоставляется пробный период на 21 день, но инструментарий имеет серьезные ограничения.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *