Politie haalt servers achter crimineel gebruik Cobalt Strike offline
Bij een internationale operatie waar Europol en de Nederlandse politie aan deelnamen is het crimineel gebruik van de tool Cobalt Strike aangepakt en zijn bijna zeshonderd ip-adressen offline gehaald. Dat meldt Europol vandaag. Cobalt Strike is door Fortra ontwikkelde software voor het uitvoeren van penetratietests. Via de software is het mogelijk om een besmet systeem op afstand opdrachten te geven. Deze opdrachten worden vanaf een externe server gegeven.
Cobalt Strike is een legitiem product waarvoor gebruikers moeten betalen. Een enkele licentie kost 5900 dollar per jaar. Daarnaast ondergaan kopers eerst een screening. Er zijn echter allerlei gelekte en gekraakte versies van de software in omloop die bij daadwerkelijke aanvallen wordt ingezet, zoals ransomware-aanvallen. Cobalt Strike wordt zo vaak bij aanvallen aangetroffen dat het Amerikaanse ministerie van Volksgezondheid hier eerder nog een waarschuwing voor gaf.
Vorige week deden politiediensten uit verschillende landen tijdens operatie 'Morpheus' onderzoek naar ip-adressen en domeinen die voor oudere, gekraakte versies van Cobalt Strike worden gebruikt. In totaal werden er 690 ip-adressen geïdentificeerd en aan providers in 27 landen doorgegeven. Aan het eind van de week waren 593 ip-adressen offline gehaald, aldus Europol. Bij de operatie werkten politiediensten samen met private bedrijven, waaronder BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch en The Shadowserver Foundation.
Een vulnerability scan van zelfs de opensource metasploit versie moet gelijke resultaten kunnen geven dus ik snap de hype niet zo, behalve dat het over dure licenties gaat. Iets dat ik verder mis waarom dit zo speciaal moet lijken?
Een vulnerability scan van zelfs de opensource metasploit versie moet gelijke resultaten kunnen geven dus ik snap de hype niet zo, behalve dat het over dure licenties gaat. Iets dat ik verder mis waarom dit zo speciaal moet lijken?
Er zijn een aantal verschillen in het gebruik van de genoemde tools. CVEs worden voornamelijk ontdenkt met behulp van vulnerability scan tools zoals Nessus/openVAS/Nexpose. Metasploit framework is een penetratie test tool die door penetratie testers wordt gebruikt om ontdenkte kwetsbaarheden aan te vallen.
Cobalt Strike is een simpel te gebruiken tool gericht op red teams, deze wordt gebruikt voor het genereren van profesioneel ontwikkelde malware "Beacons". De malware doet er alles aan om bijvoorbeeld detectie via netwerk verkeer te voorkomen en wordt vaak in combinatie met Metasploit gebruikt. Red teams gebruiken vaker technieken als social engineering of credential stuffing om toegang te krijgen tegenover (mis)bruiken van CVEs.
Het grote probleem van de gekraakte versies is dat nu iedereen de krachtige malware via een simpele GUI kan gebruiken.
Er alternativen zoals Metasploit's meterpreter, Sliver, Empire, etc die niet zo gemakkelijk in gebruik zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
