LE BUG DE COBALT STRIKE EXPOSE DES MILLIERS DE SERVEURS C&C DES LOCICIELS MALVEILLANTS

Posté le mars 5, 2019 à 20:22

LE BUG DE COBALT STRIKE EXPOSE DES MILLIERS DE SERVEURS C&C DES LOCICIELS MALVEILLANTS

Fox-IT, une entreprise de cybersécurité, a récemment découvert un bug dans Cobalt Strike. Cobalt Strike est un logiciel de tests d’intrusions. Tout comme les experts en sécurité Web, les hackers ont également commencé à utiliser Cobalt Strike pour les avantages qu’il offre. Une faille de ce logiciel a permis aux chercheurs d’identifier l’emplacement de quelques milliers de serveurs C&C utilisés par les logiciels malveillants.

Qu’est-ce que Cobalt Strike?

Cobalt Strike est un logiciel utilisé pour simuler des cyber-attaques, notamment pour les simulations Red Operations et Adversary. Pendant plus de dix ans, les professionnels de la sécurité Web ont utilisé Cobalt Strike pour tester les risques d’intrusion. Au cours des cinq dernières années, des groupes de hackers ont également commencé à l’utiliser. Cobalt Strike est populaire car il présente quelques avantages importants, par exemple une architecture client-serveur facile à utiliser et efficace.

Les groupes de hackers connus qui utilisent Cobalt Strike sont FIN6 et FIN7 (Carbanak) et certaines organisations de hackers appartenant à un gouvernement, par exemple APT29 (également connu sous le nom de Cosy Bear). Avec Cobalt Strike, les hackers peuvent héberger des serveurs de commande et de contrôle (C&C) malveillants. Ils ont installé des charge utile appelé « beacon » de Cobalt Strike sur des hôtes infectés et les ont utilisées pour propager des programmes malveillants sur des réseaux privés.

Découverte de Fox-IT

Un groupe de professionnels de la sécurité Web derrière la société Fox-IT a détecté une faille du composant du serveur de Cobalt Strike. Au cœur du Cobalt Strike se trouve un serveur Java NanoHTTPD. Cet élément présentait une faille dans son travail que les chercheurs en sécurité Web ont utilisée pour localiser les serveurs malveillants des pirates informatiques.

Fox-IT  a signalé que NanoHTTPD mettait involontairement des espaces blancs supplémentaires dans les réponses HTTP du serveur. En exploitant cet espace, Fox-IT a réussi à identifier les communications entre les charge utiles de Cobalt Strike et leurs serveurs C&C. Fox-IT a suivi les hackers depuis janvier 2015 et février 2019.  En février de cette année, l’équipe de développeurs de Cobalt Strike a créé un correctif qui a corrigé le défaut de la dernière version du logiciel (3.13).

Les résultats

En quatre ans, Fox-IT a enregistré 7718 cas unique de serveurs d’équipe de Cobalt Strike ou hôtes NanoHTTPD. La société a également publié  une liste d’adresses IP liées à l’hébergement de ces serveurs afin que d’autres équipes de sécurité puissent les utiliser. De cette manière, d’autres utilisateurs peuvent rechercher leurs journaux de réseau sur des serveurs malveillants et détecter les failles de sécurité. Certains de ces serveurs pourraient en fait être des serveurs légitimes Cobalt Strike que les professionnels de la sécurité Web hébergent à des fins de test, mais nombre d’entre eux sont des cyberattaques.

Certains des serveurs de la liste que Fox-IT parvient à identifier avaient des propriétaires et des objectifs très malveillants. Par exemple, une organisation chinoise de piratage informatique APT10 était propriétaire de certains des serveurs C&C de programmes malveillants. Un groupe de hackers du groupe Cobalt, FIN7, également connu sous le nom de Carbanak, possédait également des serveurs malveillants. Il y avait aussi un cheval de Troie nommé Bankbot.

KnownSec 404 Team, une société chinoise de sécurité Internet, a détecté dans leur propre recherche de nombreux serveurs figurant sur la liste de Fox-IT. Cette société utilise le moteur de recherche ZoomEye IoT. Ils ont trouvé les serveurs NanoHTTPD de 3643 Cobalt Strike qui sont toujours actifs. 86% des serveurs qu’ils ont réussi à identifier figurent également sur la liste de Fox-IT.

L’équipe de développeurs de Cobalt Strike a commencé à corriger la vulnérabilité de leurs serveurs. Ainsi, le nombre de serveurs que Fox-IT a pu identifier dans leurs recherches va diminuer. Comme les développeurs ne fourniront le correctif qu’aux utilisateurs légaux, la plupart des serveurs identifiés à l’avenir seront probablement de type malveillants. Les hackers utilisent principalement des versions illégales (piratées,  piratées ou non enregistrées) pour leurs actions malveillantes se servant de Cobalt Strike. Cela signifie que nombre d’entre eux ne recevront pas de correctif et resteront donc détectables par les sociétés de sécurité Web.

Summary
LE BUG DE COBALT STRIKE EXPOSE DES MILLIERS DE SERVEURS C&C DES LOCICIELS MALVEILLANTS
Article Name
LE BUG DE COBALT STRIKE EXPOSE DES MILLIERS DE SERVEURS C&C DES LOCICIELS MALVEILLANTS
Description
Fox-IT, une entreprise de cybersécurité, a récemment découvert un bug dans Cobalt Strike. Cobalt Strike est un logiciel de tests d'intrusions.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Koddos

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

Articles Populaires

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Août 28, 2023
1,2 MILLION DE CLIENTS DE MOM’S MEALS ONT ÉTÉ TOUCHÉS PAR LA RÉCENTE VIOLATION DE DONNÉES
Août 23, 2023
DES ESPIONS ET DES HACKERS ÉTRANGERS CIBLENT L’INDUSTRIE SPATIALE AMÉRICAINE
Août 23, 2023
LES DÉVELOPPEURS DE TERRA FERMENT LEUR SITE WEB À LA SUITE D’UNE CAMPAGNE D’HAMEÇONNAGE

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading