圖片來源: 

Intezer

滲透測試工具Cobalt Strike被用於攻擊的情況,可說是日益頻繁。而這套工具原本是針對Windows環境所打造,如今駭客為了能攻擊Linux電腦,也試圖反組譯並重新改寫,製作適用於這類作業系統的Cobalt Strike的Beacon。資安業者Intezer於9月13日,揭露自8月出現的攻擊行動,而其中最引起研究人員注意的,就是攻擊者使用的工具中,出現了重新以Scratch程式語言製作的Cobalt Strike的Beacon,而且,其中的Linux版本無法被防毒軟體識別為有害。

研究人員將這款新的作案工具命名為Vermilion Strike。Intezer最初先是發現了完全無法被偵測的Linux可執行檔(ELF),分析之後得知其連線至C2中繼站的通訊埠,與Cobalt Strike相同,因而判斷這是能夠在Linux作業系統執行的Beacon。研究人員指出,他們看到有人在馬來西亞上傳這個ELF檔案到VirusTotal,並且躲過所有防毒引擎的偵測。

根據Intezer與McAfee合作的遙測結果,研究人員發現,上述的ELF檔案,自8月起開始活動,鎖定全球的電信公司、政府單位、IT公司、金融機構,以及顧問公司等展開攻擊。

而在進一步調查之後,Intezer發現攻擊者曾於2019年,改造Windows版的Beacon,Windows版本是32位元的EXE可執行檔案,執行後會從C2伺服器抓取DLL檔案,並於記憶體內(In-memory)執行。其中,經過研究人員分析後,Windows版本與Linux版本不只連線的C2中繼站IP位址相同(160.202.163[.]100),具備的功能也一致。由此看來,攻擊者在2年之間,目標已經逐漸轉移到Linux伺服器上。

究竟這個Beacon的功能為何?研究人員指出可執行以下工作:

1.切換資料夾路徑
2.取得目前的資料夾路徑
3.加入及寫入檔案
4.上傳檔案到C2伺服器
5.透過popen功能執行命令
6.取得磁碟分區資訊
7.列出檔案清單

Intezer表示,Vermilion Strike是第一款被用於攻擊Linux主機的Cobalt Strike Beacon。而這種針對Linux作業系統而來的攻擊,Intezer認為也相當值得各界重視,因為,執行Linux作業系統的伺服器,在雲端的環境裡具有主導地位,促使近年來陸續有駭客開發對應的攻擊工具,而且,相較於Windows環境,資安界已有相當長期的研究,Linux上的威脅偵測率往往較低,使得有越來越多的攻擊者會對Linux主機下手,甚至不惜自行打造專用工具。

熱門新聞

Advertisement