Vulnerabilidade expõe a localização de milhares de servidores C & C de malware

Uma vulnerabilidade em uma ferramenta usada por grupos de criminosos cibernéticos agora está ajudando os pesquisadores a expor os locais de milhares de servidores de comando e controle de malware (C & C).

A vulnerabilidade – agora corrigida desde o início do ano – afetou o Cobalt Strike , uma ferramenta legítima de testes de penetração usada por pesquisadores de segurança para emular ataques cibernéticos.

A Cobalt Strike já existe há mais de uma década, mas nos últimos cinco anos ela foi lentamente adotada por grupos cibercriminosos.

Gangues de malware e grupos de espionagem cibernética de estado-nação usaram o Cobalt Strike por causa de sua arquitetura cliente-servidor simples e muito eficiente.

Os cibercriminosos usam o Cobalt Strike para hospedar seus servidores C & C e, em seguida, implantam o malware nas redes da empresa por meio de “beacons” Cobalt que são implantados em hosts infectados.

Ao longo dos últimos anos, o Cobalt Strike tornou-se o kit de ferramentas para muitos agentes de ameaças, como os grupos criminosos cibernéticos FIN6 e FIN7 (Carbanak), mas também hackers de países como o APT29 (Cozy Bear).

Mas, sem o conhecimento de todos esses grupos de hackers, os pesquisadores da Fox-IT descobriram um bug no componente do servidor Cobalt Strike. Construído em NanoHTTPD, um servidor web baseado em Java, os trapaceiros não sabiam que ele continha um bug que permitia à Fox-IT rastreá-los desde 2015.

De acordo com pesquisadores da Fox-IT, o servidor NanoHTTPD acidentalmente adicionou um espaço adicional nas respostas HTTP do servidor, como na imagem abaixo.

O espaço em branco adicional do Cobalt Strike
Imagem: Fox-IT

Esse espaço em branco extra permitiu que a Fox-IT detectasse comunicações do Cobalt Strike entre os beacons e seus servidores C & C ao longo dos anos, até 2 de janeiro de 2019, quando os desenvolvedores do Cobalt Strike corrigiram o bug e removeram o espaço extra na versão 3.13.

“No total, a Fox-IT observou 7718 servidores da equipe Cobalt Strike exclusivos ou hosts NanoHTTPD entre o período de 2015-01 e 2019-02”, disse a empresa em um post no blog desta semana.

Como o problema agora está corrigido, os pesquisadores da Fox-IT revelaram esse pequeno truque, junto com uma lista de endereços IP históricos que usavam ou ainda hospedam servidores Cobalt Strike C & C.

A empresa espera que as equipes de segurança usem essa lista para verificar seus logs de rede para esses endereços IP e identificar violações de segurança passadas ou atuais.

Alguns desses endereços IP podem pertencer a instâncias legítimas do Cobalt Strike hospedadas por empresas de segurança para fins de teste, mas a Fox-IT acredita que muitas delas também são de grupos de hackers.

Eles disseram que um exame superficial de sua lista de 7.700 endereços IP revelou servidores C & C de malware ligados à unidade de hackers do governo APT10 da China, o trojan bancário Bokbot e servidores gerenciados por remanescentes do Grupo Cobalt (também conhecido como FIN7 ou Carbanak).

KnownSec 404 Team, uma empresa de segurança cibernética chinesa que executa o motor de busca ZoomEye Internet das coisas (IoT) confirmou a descoberta de Fox-IT, identificando 3.643 servidores baseados em NanoHTTPD Cobalt Strike que ainda estão operacionais neste momento –86 por cento dos quais eram também na Fox-IT , disse a empresa.

A Fox-IT diz que as varreduras atuais para o espaço em branco adicional estão gerando menos e menos resultados, já que os servidores estão sendo corrigidos.

No entanto, a empresa diz ainda que a maioria dos atores de ameaças tende a usar versões pirateadas, trincadas e não registradas do software Cobalt Strike e, portanto, permanecerá sem correção por muito tempo ainda.

Estatísticas dos servidores do Cobalt Strike
Imagem: Fox-IT

Como os servidores de propriedade legítima receberão o patch Cobalt Strike, a maioria dos servidores que aparecerão durante as verificações no futuro próximo provavelmente farão parte das operações de malware.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.