Cobalt Strike: El nuevo favorito de los ciberdelincuentes

Desde 2012, Cobalt Strike se ha utilizado como una forma proactiva de probar las defensas de la red contra herramientas, tácticas y procedimientos (TTP) avanzados de actores de amenazas.

El objetivo, por supuesto, es imitar a los actores de amenazas más maliciosos y sus técnicas para probar su postura de seguridad y practicar los procedimientos de respuesta. Desafortunadamente, como la mayoría de las cosas en seguridad, las herramientas y el conocimiento destinados a ayudar a los equipos de seguridad también pueden ser utilizados de forma maliciosa por los delincuentes.

¿Qué pasó?

Recientemente, Cisco Talos publicó un nuevo trabajo de investigación sobre la explotación de la herramienta, junto con nuevas firmas de detección para detectar su mal uso por parte de los actores de amenazas.

Durante los últimos dos años, los actores de amenazas malintencionadas han logrado descifrar versiones con todas las funciones de Cobalt Strike y hacerlas ampliamente disponibles en los mercados y foros de la web oscura. Por ejemplo, el 22 de marzo de este año , la última versión de la herramienta se descifró y se proporcionó a los piratas informáticos. Infocyte lo ha visto ampliamente utilizado para infiltrarse y moverse lateralmente a través de las redes, y dependiendo del valor que se le dé a los datos de una empresa determinada, el ransomware se elimina. Infocyte ha notado una tendencia ascendente constante de esta versión agrietada como metodología principal por parte de los actores de amenazas desde principios de 2019 hasta el presente. 

Cobalt Strike es uno de los favoritos porque es estable y muy flexible. Se puede reutilizar para implementar todo tipo de cargas útiles, como ransomware o keylogger, en la red comprometida. Está bien organizado y proporciona un marco para administrar los activos comprometidos. Básicamente, esta herramienta ayuda a la ‘lista B’ a actuar como hackers de la ‘lista A’.

Si bien el autor de Cobalt Strike ha implementado muchas protecciones y esquemas de licencia para mantener el código fuera de las manos equivocadas, las versiones descifradas parecen utilizar todo el marco de la solución. Esto significa que los actores de amenazas tienen acceso a las redes, pueden girar y luego moverse lateralmente dentro de la red. Los implantes llamados «balizas» apoyan este movimiento lateral de un sistema a otro sin siquiera conectarse a Internet. Solo una de estas balizas necesita conectarse a Internet (la “cabeza de playa”), lo que dificulta su detección en la capa de red.

Una función llamada «Maleable C2» permite a los piratas informáticos modificar fácilmente su firma de red con relativa facilidad, mientras que Maleable PE permite la misma flexibilidad sigilosa para los implantes que se inyectan en los procesos del sistema.

¿Cómo acceden a él?

Una licencia de un año de Cobalt Strike cuesta alrededor de US$3500 por usuario. El costo de renovación de la licencia es de aproximadamente US$2,500. Sin embargo, los ciberdelincuentes a menudo utilizan versiones de prueba o descifradas de esta herramienta o incluso encuentran formas de acceder a una copia comercial del software.

Al observar la amplia gama de capacidades , hay pocas dudas sobre por qué los piratas informáticos prefieren Cobalt Strike en lugar de trabajar en un conjunto de herramientas personalizado. Para identificar una implementación de Cobalt Strike y mantenerse protegido, los expertos recomiendan varias técnicas que implican buscar el puerto abierto en 50050 / TCP o verificar el certificado TLS predeterminado del proveedor.