マルウェアグループがよく利用するCobalt Strikeサーバーに偽のビーコンを送信し、Cobalt Strikeの内部データベースを破壊するためのツールを公開しました。
「CobaltSpam」と名付けられたこのツールは、セキュリティ研究者のMario Henkel氏によって開発されました。
SentinelOneのCobaltStrikeParserをベースにしたツールで、CobaltStrikeサーバーに偽のビーコンを送信するために利用することができます。
ヘンケル氏は、このツールはセキュリティ企業SentinelOne社のプロジェクトであるCobaltStrikeParserをベースにして作成されたもので、Cobalt Strikeサーバーの設定から情報を読み取るために使用されます。
研究者によると、Cobalt Strikeサーバーにpingを打ち、新しいビーコンを登録するループを作ったとのことで、Cobalt StrikeのドキュメントではCobalt Strikeのバックドアに感染したシステムを表す用語として使われています。
Cobalt Strikeは、セキュリティ専門家がペネトレーションテストで攻撃をシュミレーションするためのツールとして開発されましたが、Intel社、Proofpoint社、Recorded Future社のレポートによると、Cobalt Strikeと同じペネトレーションテストツールであるMetasploitが、2020年に展開されたマルウェアのコマンド&コントロール(C&C)サーバーの4分の1以上を占めていることが判明するなど、このツールは非常に優れたものとなり、近年では多くのマルウェアグループに広く採用されています。
CobaltSpamは、防御側に反撃の手段を提供することを目的としています。防御側は、Cobalt Strikeサーバーを特定したら、そこに偽のデータを流し込み、攻撃者が本物と偽の感染を区別できないようにすることができます。
通常、Cobalt Strikeは感染の初期段階で展開されるため、サーバーを混乱することで、攻撃者がランサムウェア、インフォスティーラー、クリプトマイナーなどの最終的なペイロードを起動するのを防ぐことができる可能性があります
CobaltSpamは1時間に数千件の偽装エントリを生成することができる
ヘンケル氏は、CobaltSpamの動作は非常に速く、1秒間に1~2個の偽のビーコンを生成することができるそうで、ほとんどのCobalt Strikeマルウェア攻撃では、通常数十から数百デバイスが感染するため、サーバーには一晩で数万の偽装エントリが殺到することになります。
また、ヘンケルが開発したこの種のツールは、今回が2つ目となり、以前人気のインフォスティーラー型マルウェア「AZORult」のバックエンドを数千件の偽エントリーで溢れさせることができるツール「AzoSpam」を2019年に公開しています。
AZORult 3.3でのみ動作するこのツールは、被害者から収集したデータを破損させるために何度も導入に成功し、AZORultの運用者は偽物と本物のデータを選別するために時間を費やすよりも、データベース全体を消去することを選択することが多かったとヘンケルは述べています。
Comments