استفاده هکرها از Cobalt Strike در سرورهای MS SQL آسیب پذیر

توی گزارش ها و اخباری که اخیرا منتشر شده ، هکرها حملاتی رو روی سازمانها با استفاده از ابزار Cobalt Strike انجام دادند و اخیرا Ahn Lab's ASEC هم یک گزارشی در این خصوص داده و یک نمونه از این حملات رو روی MS SQL بررسی کرده که در اینجا با هم مرور می کنیم .اگر به چنین مطالبی علاقمند هستید از کانال ما هم دیدن کنید.

ابزار Cobalt Strike چیست

غالبا هکرها با استفاده از حملات فیشینگ یا اکسپلویتهای رایج یا تکنیک های دیگر اقدام به حمله روی اهداف خود میکنند . پس از نفوذ اولیه نیازمند پایداری روی سیستم و گسترش حمله خود به سایر بخش های سازمان هستند. این مرحله از حمله را post-exploitation می گویند.به عبارت دیگر هر عملی بعد از باز شدن Session اولیه در این رده قرار می گیرد. Cobalt Strike یکی از ابزارهای محبوب در این عملیات است.

ابزار Cobalt Strike یک ابزار دسترسی از راه دور تجاری می باشد و اغلب تاکتیک های رایج در ATT&CK را پشتیبانی میکند . در زیر نمایی از این ابزار را مشاهده می کنید .

اگر چه این ابزار خود را یک شبیه ساز حملات پیشرفته در عملیات post-exploitation بر روی ماشین های هدف در فرآیندهای تست نفوذ و Red teaming معرفی میکند اما طبق آمارها یکی از ابزارهای محبوب در جرایم رایانه ای بخصوص APTها می باشد. برای نمونه نمودار زیر نشان دهنده این واقعیت می باشد.

استفاده هکرها از Cobalt Strike در سرورهای MS SQL آسیب پذیر

طبق گزارشی که Ahn Lab's ASEC اخیرا منتشر کرده هکرها از این ابزار در حمله به سرورهای MS SQL استفاده میکنند. MS SQL یکی از دیتابیس های محبوب در محیط های ویندوزی می باشد.

شروع حمله بدین شکل می باشد که در ابتدا عاملین تهدید اقدام به یافتن سرور های MS SQL در اینترنت می کنند. این عمل میتواند با اسکن پورت پیش فرض MS SQL یعنی پورت 1433 حاصل می شود.

جستجوی پورت 1433 با شودان
جستجوی پورت 1433 با شودان


پس از یافتن سرورهایی با مشخصات MS SQL ، با استفاده از حملات Brute force یا dictionary attack اقدام به یافتن پسورد کاربر ادمین می کنند . در MS SQL کاربر ادمین با نام SA یا System Administrator شناخته می شود.

در برخی موارد که سرور های MS SQL بصورت پابلیک در دسترس نیستند، بدافزارهایی مانند Kingminer و Vollgar و Lemon Duck بصورت داخلی اقدام به اسکن پورت 1433 کرده و حملات Brute force یا dictionary attack را روی اونها تدارک می بینند.(حرکت جانبی)

Lemon Duckپسورد لیست بدافزار
Lemon Duckپسورد لیست بدافزار


پس از اینکه هکرها تونستن یوزر و پسورد SA رو بدست بیارند با استفاده از دستور xp_cmdshell اقدام به اجرای دستورات خود می کنند. این دستور یک شل باز کرده و رشته ای که بهش دادند رو در اون اجرا میکنه .

xp_cmdshell 'whoami.exe'

در این مرحله هکرها با استفاده از CMD یا پاورشل اقدام به دانلود و اجرای Cobalt Strike میکنند .

در حمله اخیری که Ahn Lab's ASEC بررسی کرده مهاجمان از یک بدافزار استفاده کردند که Cobalt Strike رو بصورت انکد شده درونش داشته و بعد از دیکریپت کردن ، اونو به MSBuild.exe تزریق و اجرا میکنه.

نمونه کانفیگ کوبالت
نمونه کانفیگ کوبالت

کوبالت اجرا شده دارای یک تنظیمات برای دور زدن شناسایی توسط محصولات امنیتی است بدین شکل که wwanmm.dll را بصورت نرمال اجرا کرده و در مموری آن یک beacon را نوشته و اجرا می کند. beacon ها پیلودهای Cobalt Strike هستند که در حملات پیشرفته استفاده می شوند و قابلیت اجرای اسکریپتهای پاورشل ، لاگ کردن کلیدها(کیلاگر) ، گرفتن تصویر از صفحه ، دانلود فایل و ... را دارند. به دلیل اینکه دستورات ارسالی هکر در beacon داخل این DLL اجرا می شود بنابراین حافظه مشکوکی وجود ندارد و بنابراین تشخیص memory-based را دور می زند.

wwanmm.dll کد و رشته استفاده شده برای
wwanmm.dll کد و رشته استفاده شده برای

محققان Ahn Lab's ASEC معتقدند چون این روش و آدرس C2 مهاجامان اغلب یکی هست ، احتمالا این حملات توسط یک عامل تهدید انجام می پذیرد .

در زیر IOC های این حملات قرار داده شدند :

[File Detection]
– Trojan/Win.FDFM.C4959286 (2022.02.09.00)
– Trojan/Win.Injector.C4952559 (2022.02.04.02)
– Trojan/Win.AgentTesla.C4950264 (2022.02.04.00)
– Infostealer/Win.AgentTesla.R470158 (2022.02.03.02)
– Trojan/Win.Generic.C4946561 (2022.02.01.01)
– Trojan/Win.Agent.C4897376 (2022.01.05.02)
– Trojan/Win32.CobaltStrike.R329694 (2020.11.26.06)
[Behavior Detection]
– Malware/MDP.Download.M1197
[IOC]
MD5
Cobalt Strike (Stageless)
– ae7026b787b21d06cc1660e4c1e9e423
– 571b8c951febb5c24b09e1bc944cdf5f
– e9c6c2b94fc83f24effc76bf84274039
– 828354049be45356f37b34cc5754fcaa
– 894eaa0bfcfcdb1922be075515c703a3
– 4dd257d56397ec76932c7dbbc1961317
– 450f7a402cff2d892a7a8c626cef44c6
CobaltStrike (Stager)
– 2c373c58caaaca0708fdb6e2b477feb2
– bb7adc89759c478fb88a3833f52f07cf
C&C
– hxxp://92.255.85[.]83:7905/push
– hxxp://92.255.85[.]83:9315/en_US/all.js
– hxxp://92.255.85[.]86:80/owa/
– hxxp://92.255.85[.]90:81/owa/
– hxxp://92.255.85[.]90:82/owa/
– hxxp://92.255.85[.]92:8898/dot.gif
– hxxp://92.255.85[.]93:18092/match
– hxxp://92.255.85[.]93:12031/j.ad
– hxxp://92.255.85[.]94:83/ga.js
Beacon Download URL
– hxxp://92.255.85[.]93:18092/jRQO
– hxxp://92.255.85[.]93:12031/CbCt
Download URL
– hxxp://45.64.112[.]51/dol.exe
– hxxp://45.64.112[.]51/mr_robot.exe
– hxxp://45.64.112[.]51/lion.exe
– hxxp://81.68.76[.]46/kk.exe
– hxxp://81.68.76[.]46/uc.exe
– hxxp://103.243.26[.]225/acrobat.exe
– hxxp://103.243.26[.]225/beacon.exe
– hxxp://144.48.240[.]69/dola.exe
– hxxp://144.48.240[.]85/core.exe

منابع :

https://asec.ahnlab.com/en/31811/

https://www.cobaltstrike.com/

https://attack.mitre.org/software/S0154/

https://www.proofpoint.com/us/blog/threat-insight/cobalt-strike-favorite-tool-apt-crimeware