資安業者SentinelOne揭露,滲透測試工具Cobalt Strike存在阻斷服務(Denial of Service, DoS)漏洞,執法單位與資安研究人員可利用此漏洞遏阻駭客遠端控制受駭目標之行為。
Cobalt Strike為紅隊演練常用工具之一,近年遭駭客濫用於攻擊行動,根據資安公司Proofpoint統計,2019年至2020年期間,濫用Cobalt Strike之攻擊行動增加161%。對此,如何攔阻攻擊者濫用該滲透測試工具之行為,成為資安研究人員研究議題。
SentinelOne發現4.2與4.3版本之Cobalt Strike存在名為Hotcobalt之阻斷服務漏洞,漏洞編號為CVE-2021-36798,執法單位與資安研究人員可運用此漏洞,透過容量過大之圖片檔案導致伺服器當機,進而切斷Cobalt Strike伺服器(亦稱為Teamserver)與Beacon間之通訊,達成遏阻攻擊者濫用之目的,防堵網路攻擊。SentinelOne亦提供以程式語言Python撰寫之程式庫,以協助資安研究人員解析Cobalt Strike Beacon通訊機制。
資料來源:
https://labs.sentinelone.com/hotcobalt-new-cobalt-strike-dos-vulnerability-that-lets-you-halt-operations/
https://www.proofpoint.com/us/blog/threat-insight/cobalt-strike-favorite-tool-apt-crimeware
https://www.bleepingcomputer.com/news/security/new-cobalt-strike-bugs-allow-takedown-of-attackers-servers/