Gebruik van Cobalt Strike onder cybercriminelen steeds populairder

Cobalt Strike is een legitieme beveiligingstool die wordt gebruikt door pentesters om de activiteit van cybercriminelen in een netwerk te simuleren. De tool wordt echter ook steeds vaker gebruikt door malafide partijen. Proofpoint zag tussen 2019 en 2020 een toename van 161 procent in het gebruik van de tool door cybercriminelen. Dit komt overeen met observaties van andere security-bedrijven.

Op basis van data acht Proofpoint de kans groot dat Cobalt Strike alleen maar populairder wordt onder aanvallers als initial access payload. Het is niet langer een tool die cybercriminelen pas in de tweede fase gebruiken, wanneer ze de organisatie al zijn geïnfiltreerd.

Achtergrond
In december 2020 maakte de wereld kennis met een omvangrijke en effectieve spionagecampagne die SolarWinds wist te infiltreren. Onderzoekers onthulden dat de tools die de aanvallers gebruikten, onder meer Cobalt Strike Beacon bevatten. Deze specifieke aanval werd toegeschreven aan criminelen die werken voor de Russische inlichtingendienst – een groep die al sinds ten minste 2018 gebruikmaakt van Cobalt Strike. Deze spraakmakende aanval maakte deel uit van een slimme aanvalsketen waarmee geavanceerde cybercriminelen op slinkse wijze een relatief klein aantal slachtoffers wist te compromitteren.

Vroeger werd het gebruik van Cobalt Strike bij malafide activiteiten grotendeels geassocieerd met goed uitgeruste cybercriminelen. Onderzoekers van Proofpoint hebben twee derde van de geïdentificeerde Cobalt Strike-campagnes van 2016 tot en met 2018 toegeschreven aan goed uitgeruste cybercriminele organisaties of APT-groepen. Die verhouding nam de jaren daarna drastisch af – tussen 2019 en nu was slechts 15 procent van de Cobalt Strike-campagnes toe te schrijven aan welbekende aanvallers.

De aantrekkingskracht van Cobalt Strike
Cobalt Strike wordt gebruikt door allerlei partijen, en hoewel het niet ongebruikelijk is dat cybercriminelen en APT-actoren vergelijkbare tools gebruiken in hun campagnes, is Cobalt Strike een uniek geval. Dit komt doordat het dankzij de ingebouwde functionaliteit snel kan worden gebruikt, ongeacht de vaardigheden van de aanvaller of de toegang tot personele of financiële middelen.

Cobalt Strike is ook sessiegebaseerd. Dat wil zeggen dat als cybercriminelen toegang hebben tot een host en een aanval kunnen uitvoeren zonder daarvoor lang aanwezig te zijn binnen het netwerk, er geen sporen zullen achterblijven. Met andere woorden: ze kunnen een aanval ongemerkt uitvoeren.

Aanvallers kunnen de configuratiemogelijkheden van Cobalt Strike ook gebruiken om aangepaste versies te maken die functies toevoegen of juist verwijderen om zo hun doelstellingen te bereiken of detectie te omzeilen. APT29 gebruikt bijvoorbeeld vaak aangepaste Cobalt Strike Beacon-loaders zodat hij niet opvalt tussen legitiem verkeer of om analyse te omzeilen.

Voor verdedigers vereisen aangepaste Cobalt Strike-modules vaak unieke handtekeningen. Specialisten die dit soort activiteit moeten detecteren, hebben dus vaak een inhaalslag te maken. Cobalt Strike is ook aantrekkelijk voor cybercriminelen vanwege de ingebouwde versluiering. Toeschrijving wordt moeilijker als iedereen dezelfde tool gebruikt. Als een organisatie een ‘red team’ heeft dat er actief gebruik van maakt, is het mogelijk dat schadelijk verkeer als legitiem wordt gezien. Het gebruiksgemak van de software kan de mogelijkheden van minder geraffineerde partijen vergroten.

Aanvalsketen
Proofpoint heeft tientallen spelers waargenomen die Cobalt Strike gebruiken. Net als hun legitieme tegenhangers profiteren cybercriminelen van de diverse aanvalsmethodes en toepassingen van de emulatiesoftware. Aanvallers gebruiken verschillende thema’s, aanvalstypes, droppers en payloads.

Hoewel het aantal gevallen waarin Cobalt Strike als initiële payload wordt verzonden drastisch is toegenomen, blijft ook het gebruik als tweede fase payload populair. Cobalt Strike is aangetroffen in diverse aanvalsketens samen met malware zoals The Trick, BazaLoader, Ursnif, IcedID en vele andere populaire loaders. In dergelijke gevallen wordt Cobalt Strike meestal geladen en uitgevoerd door de malware die eraan voorafgaat. Evenzo zijn er allerlei technieken die worden gebruikt wanneer Cobalt Strike rechtstreeks wordt afgeleverd, zoals via kwaadaardige macro’s in Office-documenten, gecomprimeerde uitvoerbare bestanden, PowerShell, dynamic data exchange (DDE), HTA/HTML-bestanden en verkeersdistributiesystemen.

Nadat Cobalt Strike is uitgevoerd en een Beacon is ingesteld voor C2-communicatie, valt op dat de criminelen netwerkverbindingen proberen te inventariseren en Active Directory-referenties dumpen. Hierbij proberen ze zich binnen de organisatie te verplaatsen naar een netwerkbron, zoals een Domain Controller, zodat ransomware kan worden verspreid over alle netwerksystemen.

Cobalt Strike Beacon kan niet alleen netwerken ontdekken en referenties dumpen, maar kan ook privileges verhogen, extra tools laden en uitvoeren, en deze functies in bestaande hostprocessen invoegen om detectie te voorkomen.

Vooruitblik
Onderzoekers van Proofpoint verwachten dat Cobalt Strike een veelgebruikt hulpmiddel zal blijven in de gereedschapskist van aanvallers. Volgens interne data zijn al tienduizenden organisaties het doelwit geweest van Cobalt Strike, op basis van waargenomen campagnes. De verwachting is dat dit aantal in 2021 zal toenemen.

“Onze gegevens laten zien dat Cobalt Strike momenteel meer wordt gebruikt door alledaagse cybercriminelen dan door APT-groepen en spionnen. Dit betekent dat Cobalt Strike volledig mainstream is geworden in de crimeware-wereld. Financieel gemotiveerde aanvallers beschikken nu over dezelfde wapens als aanvallers die worden gefinancierd en gesteund door verschillende overheden”, aldus Sherrod DeGrippo, Senior Director Threat Research and Detection bij Proofpoint.

Conclusie
Cobalt Strike is een nuttige tool, zowel voor legitieme beveiligingsonderzoekers als voor cybercriminelen. De configuratiemogelijkheden in combinatie met de bruikbaarheid maken het een betrouwbaar en effectief middel voor aanvallers om data te stelen, zich binnen organisaties te verplaatsen en aanvullende malware te verspreiden.

Het gebruik van publiek beschikbare tools past in een bredere trend die door Proofpoint is waargenomen. Aanvallers gebruiken zoveel mogelijk legitieme tools om malware te hosten en te verspreiden. Voorbeelden hiervan zijn Windows-processen zoals PowerShell en WMI; het injecteren van kwaadaardige code in legitieme binaire code; en het gebruik van diensten zoals Dropbox en Google Drive