High-Tech

Un bogue critique de Cobalt Strike rend les serveurs de botnet vulnérables au retrait


Vous avez fait une mauvaise mauvaise chose.
Agrandir / Vous avez fait une mauvaise mauvaise chose.

Les gouvernements, les justiciers et les pirates informatiques ont un nouveau moyen de perturber les botnets exécutant le logiciel d’attaque largement utilisé Cobalt Strike, grâce à une recherche publiée mercredi.

Frappe au cobalt est un outil de sécurité légitime utilisé par les testeurs d’intrusion pour émuler une activité malveillante dans un réseau. Au cours des dernières années, des pirates informatiques malveillants, travaillant pour le compte d’un État-nation ou en quête de profit, ont adopté de plus en plus le logiciel. Pour le défenseur comme pour l’attaquant, Cobalt Strike fournit une collection complète de packages logiciels qui permettent aux ordinateurs infectés et aux serveurs attaquants d’interagir de manière hautement personnalisable.

Les principaux composants de l’outil de sécurité sont le client Cobalt Strike, également connu sous le nom de Beacon, et le Cobalt Strike Team Server, qui envoie des commandes aux ordinateurs infectés et reçoit les données qu’ils exfiltrent. Un attaquant commence par faire tourner une machine exécutant Team Server qui a été configurée pour utiliser des personnalisations de « malléabilité » spécifiques, telles que la fréquence à laquelle le client doit signaler au serveur ou des données spécifiques à envoyer périodiquement.

Ensuite, l’attaquant installe le client sur une machine ciblée après avoir exploité une vulnérabilité, trompé l’utilisateur ou obtenu l’accès par d’autres moyens. À partir de là, le client utilisera ces personnalisations pour maintenir un contact permanent avec la machine exécutant Team Server.

Le lien reliant le client au serveur s’appelle le thread du serveur Web, qui gère la communication entre les deux machines. Les principales communications sont les « tâches » que les serveurs envoient pour demander aux clients d’exécuter une commande, d’obtenir une liste de processus ou de faire d’autres choses. Le client répond ensuite par une « réponse ».

Sentir la pression

Des chercheurs de la société de sécurité SentinelOne ont récemment découvert un bogue critique dans Team Server qui facilite la mise hors ligne permanente du serveur. Le bogue fonctionne en envoyant à un serveur de fausses réponses qui « pressent chaque bit de mémoire disponible du fil de serveur Web du C2 », a écrit Gal Kristol, chercheur de SentinelOne. Publier.

Kristol a poursuivi en écrivant :

Cela permettrait à un attaquant de provoquer un épuisement de la mémoire sur le serveur Cobalt Strike (le « Teamserver ») rendant le serveur insensible jusqu’à ce qu’il soit redémarré. Cela signifie que les balises en direct ne peuvent pas communiquer avec leur C2 tant que les opérateurs n’ont pas redémarré le serveur.

Le redémarrage, cependant, ne suffira pas à se défendre contre cette vulnérabilité car il est possible de cibler à plusieurs reprises le serveur jusqu’à ce qu’il soit corrigé ou que la configuration de la balise soit modifiée.

L’un ou l’autre rendra les balises en direct existantes obsolètes, car elles ne pourront pas communiquer avec le serveur tant qu’elles ne seront pas mises à jour avec la nouvelle configuration. Par conséquent, cette vulnérabilité a le potentiel d’interférer gravement avec les opérations en cours.

Tout ce qui est nécessaire pour effectuer l’attaque est de connaître certaines des configurations de serveur. Ces paramètres sont parfois intégrés dans des échantillons de logiciels malveillants disponibles à partir de services tels que VirusTotal. Les configurations peuvent également être obtenues par toute personne ayant un accès physique à un client infecté.

Chapeaux noirs, méfiez-vous

Pour faciliter le processus, Sentinel One a publié un analyseur qui capture les configurations obtenues à partir d’échantillons de logiciels malveillants, de vidages de mémoire et parfois des URL que les clients utilisent pour se connecter aux serveurs. Une fois en possession des paramètres, un attaquant peut utiliser un module de communication inclus avec l’analyseur pour se faire passer pour un client Cobalt Strike appartenant au serveur.

Au total, l’outil a :

  • Analyse des instructions de profil malléable intégrées d’une balise
  • Analyse de la configuration d’une balise directement à partir d’un C2 actif (comme le populaire script nmap)
  • Code de base pour communiquer avec un C2 en tant que faux Beacon

Le faux client peut alors envoyer les réponses du serveur, même si le serveur n’a envoyé aucune tâche correspondante en premier. Un bogue, suivi comme CVE-2021-36798, dans le logiciel Team Server l’empêche de rejeter les réponses contenant des données mal formées. Un exemple est les données accompagnant une capture d’écran que le client télécharge sur le serveur.

« En manipulant la taille de la capture d’écran, nous pouvons faire en sorte que le serveur alloue une taille de mémoire arbitraire, dont la taille est totalement contrôlable par nous », a écrit Kristol. « En combinant toutes les connaissances du flux de communication Beacon avec notre analyseur de configuration, nous avons tout ce dont nous avons besoin pour simuler un Beacon. »

S’il est vrai que les exploits peuvent être utilisés contre les pirates informatiques chapeaux blancs et chapeaux noirs, cette dernière catégorie est probablement la plus menacée par la vulnérabilité. En effet, la plupart des défenseurs de la sécurité professionnels paient des licences pour utiliser Cobalt Strike, tandis que de nombreux pirates informatiques malveillants, en revanche, obtiennent des versions piratées du logiciel.

Un correctif mis à disposition par le créateur de Cobalt Strike, HelpSystems, prendra du temps avant qu’il ne soit divulgué aux personnes piratant le logiciel. Il est maintenant disponible pour les titulaires de licence.

Image de la liste par Getty Images



Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans:High-Tech