Cobalt Strike: El componente perfecto para los ciberdelincuentes (II)

En uno de los incidentes en los que ha estado involucrado el área de ciberseguridad de Sidertia, se pudo identificar la presencia de un “implante” de CS, en una instalación de MS Team que era vulnerable a DLL HijackingEn ello se había identificado que la solución había empleado el mecanismo de persistencia empleando la ejecución de un proceso Update.exe (en la versión 32 bits), que llamaba a una librería (CRYOTSP.DLL) que no se encontraba en la ruta esperable originalmente. Si se posiciona una dll con el nombre esperado en la misma carpeta donde se encuentra el proceso Update.exe, aunque realmente se debería encontrar en la ruta Windows\syswow64, se cargará automáticamente cada vez que el usuario inicie la aplicación.

Una vez que la librería ha sido cargada, entrará en marcha el proceso de comunicación con el Command and Control. Empleando la funcionalidad denominada Beacon, permite la conectividad empleando protocolos tipo como HTTP, HTTPS o DNS

beacon console options
beacon console options
beacon console
Interacting with target's desktop
Interacting with target's desktop

El componente Beacon es altamente versátil y admite comunicaciones asíncronas o interactivas. El módulo asíncrono es muy útil para un atacante para crear distorsiones temporales, estableciendo conexiones basados en valores temporales aleatorios, que permite evitar que se puedan realizar asociaciones de ataques con patrones de comunicaciones concretas. En este sentido el componente de Beacon llamará al C&C evaluará si hay tareas, las descargará y las podrán en ejecución cuando sea necesario.

Los indicadores de red de Beacon son flexibles, empleado el lenguaje maleable C2 propio de Cobalt Strike. Esto le permite ocultar la actividad de Beacon para que se disfrace como otro malware o se haga pasar como tráfico legítimo.

La shell de comandos que proporciona Beacon permite la ejecución de acciones basadas en CMD o PowerShell. En aquellos casos que estén desactivados ambos programas, se puede emplear el comando powerpick para ejecutar cmdlets, sin necesidad del componente PowerShell de Windows.

También, aunque más agresivo permite la ejecución de cmdlets en procesos, mediante el empleo de la api psinject.

El uso de PowerShell resulta muy potente para el atacante y va a permitir interactuar de forma significativa con el sistema. La descarga de hashes, la impersonalización de cuentas, la modificación del registro o la ejecución de aplicaciones, son acciones que pueden ser fácilmente llevadas a cabo con la shell nativa que incorporan los sistemas operativos de Microsoft. De esta forma y sin la necesidad de aplicaciones de terceros, que en muchas ocasiones serán fácilmente identificables por aplicaciones de detección de malware, se puede obtener información crítica, que una vez exfiltrada, será utilizada en procesos posteriores. Por ejemplo, robar credenciales para emplearlas en accesos remotos o para venderla. También con la información obtenida puede llevar a cabo extorsiones a personas concretas u organizaciones.

Uno de los objetivos últimos que a buen seguro llevará a efecto el atacante es efectuar el cifrado del contenido de los sistemas de la información. Este hecho lógicamente revelará la presencia del atacante. Este, emplea Cobalt Strike como mecanismo para distribuir una aplicación maliciosa tal como Ryuk una vez que ha conseguido los privilegios oportunos. Aunque se han visto casos donde se ha empleado funciones propias del sistema para cifrar el contenido de los equipos, es más habitual emplear una aplicación malicioso como vector de ataque para el cifrado.

Como se ha podido intuir Cobalt Strike ofrece múltiples posibilidades para la explotación y que dependerá de:

  • Las capacidades o habilidades del atacante.
  • Lo silencioso que quiera llegar a operar.
  • El objetivo del ataque.

Se abordarán en futuros artículos técnicos cómo se llevan a cabo estas acciones, y cómo no, como poder identificarlos con las capacidades que tienen habitualmente las organizaciones.

Comparte:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
ACTUALIDAD

Post Relacionados.

XV Jornadas STIC CCN CERT

XV Jornadas STIC CCN-CERT

Bajo el lema «Ciberseguridad 360º. Identidad y control del dato», las XV Jornadas STIC CCN-CERT volverá a convertirse en un referente en el panorama nacional e internacional y Sidertia estará presente un año más, esta vez en calidad de Patrocinador Estratégico.

Leer más »