image

Lek in Cobalt Strike maakt dos-aanval op ransomwaregroepen mogelijk

donderdag 5 augustus 2021, 11:05 door Redactie, 0 reacties

Onderzoekers hebben een kwetsbaarheid in de software Cobalt Strike ontdekt waardoor het mogelijk is om een denial of service-aanval op de servers van ransomwaregroepen en andere aanvallers uit te voeren, zo stelt securitybedrijf SentinelOne.

Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. Nadat een systeem binnen de organisatie is gecompromitteerd installeren de aanvallers een tool zoals Cobalt Strike Beacon. Daarmee is versleutelde communicatie met de server van de aanvallers mogelijk. Die kunnen zo nieuwe opdrachten geven, zoals het installeren van aanvullende malware.

Ook wordt Cobalt Strike gebruikt voor het verder in kaart brengen van het netwerk en laat het de aanvallers zich lateraal door het netwerk bewegen, zodat het uiteindelijk volledig kan worden overgenomen, stelt antimalwarebedrijf Malwarebytes. Volgens securitybedrijf Intel 471 is er een correlatie tussen het gebruik van Cobalt Strike door cybercriminelen en de toename van het aantal ransomware-aanvallen in de afgelopen jaren. Bij veel grote ransomware-aanvallen maakten aanvallers gebruik van Cobalt Strike.

Onderzoekers van securitybedrijf SentinelOne ontdekten een kwetsbaarheid in Cobalt Strike waardoor het mogelijk is om de communicatie tussen beacons en de server te verstoren, de installatie van nieuwe beacons te voorkomen en een dos-aanval op de server uit te voeren zodat die niet meer reageert totdat de aanvallers die herstarten. Het herstarten is echter niet genoeg om misbruik van de kwetsbaarheid te voorkomen, aangezien het mogelijk is om de server herhaaldelijk te blijven aanvallen.

De aanval is mogelijk door het registreren van fake beacons bij de de Cobalt Strike-server van de aanvallers. Vervolgens is het mogelijk om taken naar de server te sturen die al het beschikbare geheugen in beslag nemen. Aangezien Cobalt Strike een legitiem product is, ontwikkeld door HelpSystems, heeft SentinelOne de kwetsbaarheid in april aan de ontwikkelaar gerapporteerd. Die kwam gisteren met een beveiligingsupdate in de vorm van Cobalt Strike 4.4.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.