[datensicherheit.de, 04.08.2021] Sicherheitsforscher des Sentinel Labs haben nach eigenen Angaben „in den neuesten Versionen des ,Cobalt Strike‘-Servers, des beliebten Hacker-Tools, mehrere Denial-of-Service-Schwachstellen (CVE-2021-36798) gefunden“. Diese Schwachstellen könnten dazu führen, dass bestehende „Beacons“ nicht mehr mit dem „C2“-Server kommunizieren, neue „Beacons“ nicht mehr installiert und laufende Operationen gestört werden könnten. Die Forscher haben demnach eine neue „Python“-Bibliothek veröffentlicht, um die „Beacon“-Kommunikation allgemein zu analysieren und die „Security Community“ zu unterstützen. Die Schwachstelle sei an die Betreiberfirma Helpsystems gemeldet und inzwischen gepatcht worden.

Red Teams, aber auch Cyber-Kriminelle nutzen Cobalt Strike

„Cobalt Strike“ sei eines, wenn nicht sogar das beliebteste Angriffs-Framework, welches für „Red Team Operations“ entwickelt worden sei. Einerseits verwendeten viele sogenannte Red Teams „Cobalt Strike“, aber andererseits nutzten es auch viele Cyber-Kriminelle.
Bereits zuvor habe es eine bekannte Schwachstelle in „Cobalt Strike“ gegeben. Für ein tieferes Verständnis der Kommunikationsinterna von „Beacon“ lohne es sich, den Bericht der nccgroup zu lesen. In der Praxis diese Schwachstelle, welche den Namen „Hotcobalt“ erhalten habe, die Remote-Code-Ausführung auf dem Server ermöglicht.

Per gefälschtem Beacon mit Cobalt Strike-Server kommuniziert und diesen überlastet

„Die Forscher konnten in einem Test die Größe eines Screenshots verändern und mit einem gefälschten ,Beacon‘ mit dem ,Cobalt Strike‘-Server kommunizieren und ihn mit einem speziellen ,POC Python‘-Skript überlasten.“ Dieses Skript analysiere die Konfiguration des „Beacons“ und verwende die darin gespeicherten Informationen, um einen neuen zufälligen „Beacon“ auf dem Server zu registrieren.
„Nach der Registrierung des ,Beacon‘ wird das oben gefundene Primitiv verwendet, um iterativ gefälschte Aufgabenantworten zu senden, die jedes bisschen verfügbaren Speicher aus dem Webserver-Thread des C2 ausnutzen.“ Dies führe zum Absturz des „Web-Threads“ des Servers, welcher den HTTP-Stager und „Beacon“-Kommunikation verarbeite.

Rechner mit Cobalt Strike-Server könnte lahmgelegt werden

Auf diese Weise könne ein böswilliger Akteur auf dem Rechner, auf dem der „Cobalt“-Server läuft, die Speicherkapazität erschöpfen, „so dass der Server nicht mehr reagiert, bis er neu gestartet wird“. Dies bedeute, dass „Live-Beacon“ nicht mit ihrem „C2“ kommunizieren könnten, bis die Betreiber den Server neu starteten. Ein Neustart reiche jedoch nicht aus, um sich gegen diese Schwachstelle zu schützen, da es möglich sei, den Server wiederholt anzugreifen, bis er gepatcht oder die Konfiguration des Beacons geändert wird.
In beiden Fällen würden die vorhandenen „Live-Beacons“ obsolet werden, da sie nicht mehr mit dem Server kommunizieren könnten, bis sie mit der neuen Konfiguration aktualisiert werden. Daher könne diese Schwachstelle den laufenden Betrieb erheblich beeinträchtigen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.02.2020
SentinelLabs: Hacker-Gruppe Gamaredon verstärkt Angriffe auf ukrainische Behörden

SentinelLABS, 04.08.2021
Security Research / Hotcobalt – New Cobalt Strike DoS Vulnerability That Lets You Halt Operations

Sentinel-One / CobaltStrikeParser
communication_poc.py

nccgroup, Exploit Development Group, 15.06.2020
Striking Back at Retired Cobalt Strike: A look at a legacy vulnerability

[datensicherheit.de, 28.04.2013] In den vergangenen Wochen diskutierte nicht nur die IT-Welt vermehrt über virtuelle Währungen wie z.B. Bitcoin. Diese kommen zu Kaufzwecken, für Spenden oder als Umtauschwährung für Realgeld zum Einsatz. AlienVault hat nach eigenen Angaben mit seinem „Labs“-Team das digitale Geld bereits seit einiger Zeit im Blick und präzisiert die Beobachtungen nun für „Bitcoins“, die Cracker zunehmend missbrauchen.
Bösartige Hacker entwenden die digitalen Münzen oder nutzen kompromittierte Systeme, um eigenständig virtuelles Geld zu „minen“, d.h. herzustellen. Zudem führen sie Denial-of-Service-Attacken (DoS) aus, um die Wechselrate zu destabilisieren und auf diese Weise von der digitalen Währung zu profitieren.
„Bitcoin“ ist eine dezentralisierte, virtuelle Währung, basierend auf einem Open-Source-P2P-Protokoll. Die Erzeugung und Übertragung führen als „Miner“ bezeichnete Rechner aus, die die Information über eine „Bitcoin“-Herstellung an eine dezentralisierte Datenbank übermitteln.
Der Münztransfer läuft per Computer ohne Beteiligung eines Finanzinstituts ab. Den Besitz einer oder mehrerer „Bitcoin“-Adressen weist der Nutzer mittels des sogenannten „Bitcoin Wallet“ nach. Über diese Adressen können Nutzer Münzen senden und von anderen empfangen. Da der Mining-Prozess sehr kompliziert und zeitaufwendig ist, haben sich „Bitcoin“-Pools gebildet, in denen mehrere Anwender zusammen virtuelle Münzen erzeugen und den Gewinn untereinander teilen. Das virtuelle Geld lässt sich an Online-Börsen wie „MtGox“, „BTC-E“ oder „Virtex“ tauschen.
Mittlerweile haben böswillige Hacker die Herstellungs- und Transferprozesse als Ziel für ihre kriminellen Aktivitäten entdeckt. Laut AlienVault-Recherchen stehlen sie z.B. „Wallets“ von infizierten Computern. Ein Beispiel dafür ist eine Version des Schädlings „Khelios“, der von infizierten Systemen Spam-Nachrichten verschickt und Daten sowie die „Wallet“-Datei „wallet.dat“ stiehlt.
Diese Datei lässt sich zwar mittels Passwort schützen, was aber AlienVault zufolge nicht ausreicht, da vielfach über Keylogging dieser Schutz ausgehebelt werden kann.
„Andere Malware-Typen hingegen nutzten den Computer ihres Opfers, um Bitcoins zu minen“, erklärt Jaime Blasco, „Director AlienVault Labs“. Ihre Experten hätten festgestellt, dass den meisten „Bitcoins“ ein Stück Code hinzugefügt werde, der eine Verbindung zu einem öffentlichen oder privaten Mining-Pool schaffe, um neue Münzen zu generieren. Bekannte Bedrohungen wie z.B. „Zeus“/„Zbot“ verfügten ebenfalls über Mining-Fähigkeiten, indem sie einen „Bitcoin-Dämon“ auf einem infizierten System installierten und darüber das virtuelle Geld erzeugten. Auch die populärste Tauschbörse „Mtgox“ gerate ins Visier – laut AlienVault-Spezialisten habe z.B. ein Angreifer eine gefälschte Website mit der Domain „mtgox-chat[.]info“ [Anm. d. Red.: Website auf keinen Fall aufrufen!] aufgesetzt, die mit einem bösartigen Java-Applet verseucht sei.
Für Unternehmen, die ihre Sicherheit gefährdet sehen, eigne sich als Rundumschutz eine „Unified Security Management“-Plattform wie z.B. die „USM-Konsole“ von AlienVault. Diese kombiniere Open-Source-Tools für Bestandsaufnahmen (Asset Discovery), Schwachstellenprüfung, Bedrohungserkennung, Verhaltensüberwachung und Sicherheitsinformationen (SIEM). Die neue Version 4.2 sei als virtuelle „Appliance“ erhältlich und stehe als kostenfreie 30-Tage-Testversion bereit.

Weitere Informationen zum Thema:

AlienVault Labs, 16.04.2013
How cybercriminals are exploiting Bitcoin and other virtual currencies