Cobalt Strike : une anomalie dans un outil de test d’intrusion rend visible des serveurs malveillants

Corporate

Une société de sécurité a été en mesure de suivre le trafic Command and Control (C&C) généré par plusieurs groupes de pirates, grâce à une anomalie de type “whitespace” au niveau d’un outil de pentest appelé Cobalt Strike.

cobalt strike

Pendant quatre ans, une société de sécurité a été en mesure de suivre le trafic Command and Control (C&C) généré par plusieurs groupes de pirates, bien connus, grâce à une petite anomalie dans un outil pentest.

Cette information est apparue dans un article de Fox-IT, décrivant comment un de ses chercheurs a détecté en 2015 une petite erreur de type “whitespace” dans les réponses HTTP du serveur web basée sur la “balise” NanoHTTPD pouvant être implantée au sein d’un réseau cible en tant que partie intégrante d’un outil appelé Cobalt Strike.

Cobalt Strike est un outil officiel de pentest utilisé pour simuler des adversaires dans des scénarios de test de type “Red Team”. Malheureusement, au cours des dernières années, il s’est aussi fait connaître par les cybercriminels qui l’utilisent après avoir forcé sa protection contre la copie.

Il s’agit d’une plateforme prête à l’emploi qui offre à un adversaire (légitime ou non) un point d’entrée à partir duquel il peut contrôler le mouvement latéral dans le réseau et répandre des charges virales avec le confort d’une interface graphique.

Cependant, la faille “whitespace” inoffensive, et presque imperceptible, a permis à Fox-It de transformer cette communication en une empreinte digitale de l’Intrusion Detection System (IDS) qui permet à ses analystes de voir les serveurs publics de Cobalt Strike.

Cela est resté vrai jusqu’à début janvier, lorsque Cobalt Strike v3.13 a finalement remarqué et corrigé un problème qui, selon Fox-It, fait partie du logiciel depuis 2012.

Pour Fox-IT, cela représente une victoire à la Pyrrhus en matière de cybersécurité. De toute évidence, tout ce qui pouvait, en théorie, permettre à un défenseur “Blue Team” d’identifier une incursion “Red Team” au cours d’un exercice de pentest allait être supprimé par les responsables de Cobalt Strike.

En supposant que les cybercriminels installent la mise à jour, le correctif élimine également la possibilité de suivre les acteurs se cachant derrière cette menace à l’aide de l’outil, qui inclurait Carbanak/Fin7, et les groupes d’espionnage APT29 (Cosy Bear) et chinois APT10 pour n’en nommer que quelques-uns.

En effet, le nombre de serveurs présentant le problème de “whitespace” a déjà diminué depuis le début de 2019. Fox-It observe que :

Les modifications des logs d’entrée [pour la v3.13] indiquent que l’espace supprimé est “extérieur”, au sens littéral, signifiant ici plutôt “non pertinent” ou “inapproprié”. En raison de son importance démontrée en tant que mécanisme d’empreinte digitale, cette description est contestée ici.

Au total, la société a découvert 7 718 serveurs de l’équipe Cobalt Strike ou hôtes NanoHTTPD uniques entre janvier 2015 et février 2019.

La faute à qui ?

Est-il juste de reprocher à Cobalt Strike le fait que des groupes de cybercriminels l’utilisent ?

Pas vraiment. Ce qu’il faut retenir à propos des outils de pentest (Cobalt Strike n’étant qu’un acteur parmi tant d’autres) c’est que les avantages offerts par l’utilisation de ces derniers pour améliorer la sécurité dépassent les inconvénients engendrés par une mauvaise utilisation.

Fox-It recommande aux entreprises de consulter la liste des serveurs whitespace qu’il a détectés pour vérifier si elles ont déjà été ciblées.


Billet inspiré de Anomaly in pen-test tool made malware servers visible, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.