Командные серверы киберпреступников можно определить по лишнему пробелу, случайно оставленному в HTTP-заголовке программы Cobalt Strike. К такому выводу пришли специалисты компании Fox-IT, выявившие более 7700 хостов, которые могут иметь отношение к криминальным группировкам. Разработчики утилиты исправили ошибку, однако почти 600 непропатченных ресурсов все еще доступны онлайн.

Легитимный инструмент Cobalt Strike предназначен для проведения пентестов, но в последние годы часто используется злоумышленниками с целью развертывания вредоносного ПО в сетях организаций. Для управления одним из компонентов Cobalt Strike, веб-маяком Beacon, применяется доработанный Java-сервер NanoHTTPD. Исследователи заметили, что HTTP-заголовки его служебных ответов о статусе хоста содержат лишний пробел после слова «OK». Скорее всего, он появился случайно, однако присутствует во всех релизах утилиты с 2012 года.

Эта метка позволяет найти командные серверы Cobalt Strike при помощи поисковых движков, анализирующих HTTP-трафик. Изучив данные, собранные сервисом Rapid7 с января 2015 года по настоящий момент, эксперты собрали почти 8000 уникальных IP хостов, чьи ответы содержали лишний пробел. Часть из них принадлежала легитимным пользователям Cobalt Strike, однако ИБ-специалисты сумели найти среди них ресурсы криминальных группировок Cobalt, APT10 и Bokbot.

Исследователи предлагают использовать полученный список в качестве индикатора атаки. Если организация не использует Cobalt Strike, то наличие трафика между устройством и адресами из этого перечня свидетельствует о вредоносной активности.

Разработчики утилиты исправили недостаток в релизе 3.13, вышедшем 2 января 2019 года, однако данные онлайн-сканеров свидетельствуют, что не все владельцы программы установили обновление.

В феврале Cobalt Strike Beacon отметился в атаках, использующих уязвимость архиватора WinRAR. Злоумышленники эксплуатировали баг, связанный с распаковкой ACE-файлов в любой каталог — на выбор злоумышленника. По словам специалистов, преступники пытались доставить вредоносные объекты в папку автозагрузки целевого компьютера.

Категории: Главное, Кибероборона, Хакеры