Cobalt Strike: Angreifer missbrauchen Pentesting-Tool
von Tina Siering
Wie funktioniert Cobalt Strike – und wie gelangt das Pentesting-Tool in die Hände von Kriminellen?
Cobalt Strike ist ein modulares Post-Exploitation-Framework, das bereits im Jahr 2012 als Tool zur Simulation von Cyberangriffen veröffentlicht wurde. Cobalt Strike nutzt sogenannte verborgene Kanäle, um das Vorgehen von Hackern innerhalb eines Unternehmensnetzwerks zu simulieren. Die von Cobalt Strike eingesetzten Beacons sind stabil, flexibel und vor allem unauffällig: Sie lassen sich im Speicher eines Prozessors abbilden, ohne dabei das Dateisystem negativ zu beeinflussen. Das Tool unterstützt mit seiner Post-Exploitation-Suite zahlreiche Methoden, die bei Cyberkriminellen ganz oben auf der Beliebtheitsskala stehen – unter anderem den Diebstahl von Anmeldeinformationen, Keylogging, Port-Scanning oder die Ausführung von Befehlen. Auch kann sich Cobalt Strike hervorragend tarnen, in dem es Beacons modifiziert und dadurch legitimen Datenverkehr imitiert.
Damit das Tool nicht in falsche Hände gerät, kontrolliert der Entwickler Strategic Cyber LLC die Vergabe der Lizenzen streng. Dennoch gelingt es Hackern immer wieder, sich Zugriff zu Cobalt Strike zu verschaffen und es für kriminelle Zwecke zu missbrauchen. Zahlreiche Bedrohungsakteure, insbesondere APT-Gruppierungen und professionell aufgestellte Cybercrime-Organisationen setzen auf Cobalt Strike. Hauptsächlich als Booster für die Durchdringung von kompromittierten Netzwerken mit Ransomware ist das Tool immens beliebt. Bereits 2020 berichtete das IT-Sicherheitsunternehmen Cisco Talos Intelligence Group, dass ein Großteil der Ransomware-Angriffe mit Cobalt Strike durchgeführt werden – die ansonsten eingesetzten Standard-Trojaner scheinen weniger effizient zu sein.
Google Cloud gab Ende 2022 bekannt, dass insgesamt 275 spezifische JAR Files gehackter Cobalt Strike Versionen im Umlauf sind – ältere Softwareversionen ab dem Jahr 2012, aber auch die Version 4.7. Zur Einordnung: Die aktuelle Cobalt Strike Versionsnummer ist die 4.7.2. Daraus lässt sich schlussfolgern, dass trotz der Bemühungen des Herstellers, einem Missbrauch vorzubeugen, so gut wie jede Version gehackt und als robustes Tool für Cyberangriffe eingesetzt wird. IT-Sicherheitsverantwortliche sind daher gut beraten, Cobalt Strike in den Fokus ihrer Abwehrmaßnahmen zu nehmen.
Welche Maßnahmen sollten ergriffen werden?
Die Funktionen, die in Cobalt Strike enthalten sind, stellen für Cyberkriminelle eine echte Schatzkiste dar. Entsprechend beliebt sind die im Umlauf befindlichen gehackten Versionen des Tools. Der Entwickler Strategic Cyber LLC ist sich des Gefahrenpotenzials bewusst. Anträge von Interessenten an Cobalt Strike werden daher gründlich geprüft und mögliche Hacker so zumindest von den neuesten Versionen ferngehalten. Kriminelle setzen daher auf veraltete, aber nicht weniger gefährliche, gecrackte Versionen – die unter anderem im Darknet verfügbar sind.
Die veralteten Versionsnummern fließen in Erkennungsregeln ein, die von Google erstellt wurden. Google hat eigenen Angaben zufolge Versionen von Cobalt Strike ab 2012 analysiert und rund 340 Binaries untersucht. Mit dieser Datengrundlage wurden die sogenannten Yara-Regeln erstellt. Die Yara-Regeln sind ein quelloffenes Framework, das Erkennungsmuster bereitstellt, mit denen Sicherheitstools Artefakte von Angriffen identifizieren.
Unsere IT Security Consultants sind standardmäßig im Rahmen ihrer wöchentlichen IoC-Prüfungen auf das Erkennen von Standard Cobalt Strike Angriffen bestens trainiert.
Ist es Hackern trotz bestehender Sicherheitsmaßnahmen gelungen, durch Cobalt Strike oder ähnliche Tools Malware in einem Netzwerk zu aktivieren, gilt es möglichst schnell auf den Angriff zu reagieren und ihn frühzeitig an seiner weiteren Verbreitung zu hindern. Wirksame Hilfe bietet hier eine Managed Detection and Response-Lösung (MDR). MDR-Lösungen wie der Active Cyber Defense (ACD)-Service von Allgeier secion untersuchen Unternehmensnetzwerke proaktiv und kontinuierlich auf Anomalien durch ein externes SOC-Team. Die permanente Detektion sorgt dafür, dass erfolgreiche Cyberangriffe frühzeitig erkannt und abgewehrt werden können.
Wichtig zu wissen: Cobalt Strike kann für Angriffe auf alle Endpoints eines Netzwerkes verwendet werden. Für eine zuverlässige Abwehrstrategie ist es daher unverzichtbar, alle Systeme innerhalb eines Netzwerks zu überwachen. Zu den Endpoints zählen neben Desktops und Laptops auch Mobiltelefone, Tablets, Netzwerkinfrastruktur, Drucker, IoT-Geräte oder Server. Der Active Cyber Defense Service bezieht generell alle Endpoints mit in die Überwachung ein. Es bedarf keiner Installation von Agents auf Clients, denn ACD prüft auf Netzwerkebene, ob Systeme beispielsweise mit Command & Control Servern kommunizieren – und somit kompromittiert sind.
Fazit
Cobalt Strike ist ein Framework für Cyberangriffs-Simulationen, das bereits 2012 veröffentlicht wurde. Cobalt Strike bietet eine Vielzahl von Tools für Post-Exploitation-Angriffe, wie beispielsweise das Stehlen von Anmeldeinformationen, Keylogging, Port-Scanning oder die Ausführung von Befehlen. Auch wenn der Hersteller bemüht ist, Cobalt Strike von Cyberkriminellen fernzuhalten, existieren doch zahlreiche gecrackte Versionen, die für Cyberangriffe verwendet werden. Wir empfehlen daher, Maßnahmen für eine kontinuierliche Managed Detection and Response als zusätzlichen IT Security Layer zu integrieren und so den Netzwerk-Traffic - effektiv und rund um die Uhr - zu überwachen