16 Eyl, 2021

[:tr]Cobalt Strike’ın Linux Sürümü Dünya Çapında Organizasyonu Hedefliyor[:en]Cobalt Strike Linux Edition Targets Worldwide Organization[:]

[:tr]

Cobalt Strike; en temel tanımı ile siber saldırı simülasyonları kapsamında komuta ve kontrol için kullanılabilecek Java tabanlı bir uygulamadır. Powershell Empire, Metasploit (Meterpreter), PoshC2 gibi mevcut diğer komuta ve kontrol araçlarına ücretli bir alternatif olarak Raphael Mudge tarafından geliştirilmiştir.
2012’de piyasaya sürülmesinden bu yana, Cobalt Strike, kırmızı ekipler ve etik bilgisayar korsanları için popüler bir platform haline geldi. DNS tüneli oluşturma, ayrıcalık yükseltme için yanal hareket araçları ve PowerShell desteği gibi yenilikçi özelliklerle birleştirilmiş sağlam ve güvenilir yazılımdır. Bu aracı kendi siber savunmalarını test etmek isteyen kuruluşlar için arzu edilen bir seçenek haline gelmişti.
Her şey 2020’nin sonlarında, bir GitHub deposunun Cobalt Strike’ın derlenmiş bir sürümü gibi olan bir aracın yayınlanması ile değişti. Kullanıcılar, sızdırılan platformun ticari sürümle aynı olmasa da benzer şekilde çalıştığını ve hatta sahte bir lisans ile lisans kontrolünü atlatabildiğini iddia etti. Bu, yazılımı birdenbire kullanıma hazır hale getirdi ve siber suçlular için oldukça çekici hale gelmiş oldu.

Yapılan araştırmalara göre sızan versiyonun bildirilmesinden önce bile, fidye yazılımı saldırılarının %66’sının Cobalt Strike kullandığı tespit edilmişti. Bir süredir, Cobalt Strike benzeri uygulamanın verdiği tahribat unutulmuş gibiydi.
Fakat Ağustos 2021’de Intezer’deki araştırmacılar, Vermilion Strike olarak adlandırılan Cobalt Strike’ın benzeri olan yeni bir saldırı aracı buldular. Bu araç Cobalt Strike’ın ELF ikili dosyasını taklit edebilmektedir. EDR vb. güvenlik araçları tarafından tamamen tespit edilemediği ve engellenemediği gözlemlemişlerdir.

Cobalt Strike’ın dosyası, Malezya’dan VirusTotal’a yüklendi uygun ve detaylı bir soruşturmanın ardından güvenlik analistleri, o sırada belirtilen dosyaların VirusTotal’da herhangi bir şekilde tespit edilemediğini gözlemledi.

Yalnızca bu değil, aynı zamanda bu özel dosya, daha önce görülen Cobalt Strike örnekleriyle dizelerini paylaşır ve genellikle kodlanmış Cobalt Strike yapılandırmalarını algılayan bir dizi YARA kuralını tetikler.

Ancak uzmanlar, Vermilion Strike’ın konfigürasyon formatının Cobalt Strike ile aynı olduğunu ve Cobalt Strike konfigürasyonlarını almak için kullanılan araçların da Vermilion Strike konfigürasyonunu ortaya çıkarmak için kullanılabileceğini belirtti.

Tespit edilen Cobalt Strike ELF ikili dosyasının Vermilion Strike’ı şu anda kötü amaçlı yazılımdan koruma çözümleri tarafından tamamen algılanmamaktadır.

Sadece bu değil, aynı zamanda bu yeni Linux kötü amaçlı yazılımı, aynı geliştiriciyi sürekli olarak gösteren Windows DLL dosyalarıyla birlikte teknik örtüşme özelliklerine de sahiptir.

Bu tür kötü niyetli hareketler sürekli tehdit etmeye devam ediyor ve devam edecek gibi gözüküyor. Araştırmacılar, Cloud üzerindeki Linux sunucularının daha fazla kullanılması ve sürekli kullanımının devam eden artışının, APT’leri mevcut ortamda rahat hareket edebilmeleri ve göze batmamaları için araç setlerini geliştirmeye devam ettiğini belirtti ve diğer Black Hat hacker’ları davet ettiğini iddia etti.

Ayrıca, bunun gerçek saldırılar için tasarlanan ilk Linux uygulaması olduğunu da onayladılar. Ancak ne yazık ki, tehdit aktörlerinin Linux sistemleri hedeflemek için kullandıkları orijinal saldırı vektörü hakkında özel bir bilgi yok.

Sonuç;
Gelişen siber güvenlik teknolojileri dünyasında, doğal seleksiyon olarak tehdit aktörlerinin de her zaman kendilerini update ve upgrade edeceğini görmekteyiz.

Dolayısıyla siber güvenlik dünyasında yaklaşımlarımız her daim geleceği gören, sezinleyen, kendini güncel tutan, her güvenlik teknolojisine %100 güvenmeyen, içinde heyecan ve kuşkuyu bir arada kılan bir yapıya sahip olmamız gereklidir.

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]Cobalt Strike; In its most basic definition, it is a Java-based application that can be used for command and control within the scope of cyber attack simulations. Powershell Empire was developed by Raphael Mudge as a paid alternative to other existing command and control tools such as Metasploit (Meterpreter), PoshC2.

Since its launch in 2012, Cobalt Strike has become a popular platform for red teams and ethical hackers. It is robust and reliable software combined with innovative features such as DNS tunneling, lateral movement tools for privilege escalation, and PowerShell support. This tool has become a desirable option for organizations that want to test their cyber defenses.

That all changed in late 2020 with the release of a GitHub repository tool that was like a compiled version of Cobalt Strike. Users claimed that the leaked platform worked similarly, if not identically, to the commercial version, and even circumvented the license check with a fake license. This made the software instantly available and very attractive to cybercriminals.

According to research, even before the leaked version was reported, 66% of ransomware attacks were found to use Cobalt Strike. For a while, the havoc wrought by the Cobalt Strike-like app seemed to have been forgotten.

But in August 2021, researchers at Intezer found a new attack tool called Vermilion Strike, similar to Cobalt Strike. This tool can emulate Cobalt Strike’s ELF binary. EDR etc. They observed that it could not be completely detected and blocked by security tools.

Cobalt Strike’s file was uploaded to VirusTotal from Malaysia, and after proper and thorough investigation, security analysts observed that the files mentioned at the time could not be detected in any way on VirusTotal.

Not only that, but this particular file shares strings with previously seen Cobalt Strike instances and triggers a set of YARA rules that typically detect hard-coded Cobalt Strike configurations.

However, experts stated that the configuration format of Vermilion Strike is the same as Cobalt Strike and the tools used to import Cobalt Strike configurations can also be used to reveal the Vermilion Strike configuration.

Vermilion Strike of the detected Cobalt Strike ELF binary is currently completely undetected by anti-malware solutions.

Not only that, but this new Linux malware also features technical overlap, with Windows DLLs constantly showing the same developer.

Such malicious acts continue to threaten and are likely to continue. The researchers noted that the continued growth and continued use of Linux servers on the Cloud continue to improve their toolkit so that APTs can navigate and remain unobtrusive in the current environment, claiming to invite other Black Hat hackers.

They also confirmed that this is the first Linux application designed for real attacks. Unfortunately, however, there is no specific information about the original attack vector used by threat actors to target Linux systems.

Conclusion;
In the developing world of cyber security technologies, we see that as natural selection, threat actors will always update and upgrade themselves.

Therefore, in the world of cyber security, our approach must always be a structure that sees the future, anticipates, keeps itself up-to-date, does not trust every security technology 100%, and brings excitement and suspicion together.[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar