渗透测试工具Cobalt Strike被用于攻击的情况,可说是日益频繁。而这套工具原本是针对Windows环境所打造,如今黑客为了能攻击Linux计算机,也试图反汇编并重新改写,制作适用于这类操作系统的Cobalt Strike的Beacon。安全企业Intezer于9月13日,披露自8月出现的攻击行动,而其中最引起研究人员注意的,就是攻击者使用的工具中,出现了重新以Scratch程序语言制作的Cobalt Strike的Beacon,而且,其中的Linux版本无法被杀毒软件识别为有害。
研究人员将这款新的作案工具命名为Vermilion Strike。Intezer最初先是发现了完全无法被侦测的Linux可执行文件(ELF),分析之后得知其连接至C2中继站的通信端口,与Cobalt Strike相同,因而判断这是能够在Linux操作系统执行的Beacon。研究人员指出,他们看到有人在马来西亚上传这个ELF文件到VirusTotal,并且躲过所有杀毒引擎的侦测。
根据Intezer与McAfee合作的遥测结果,研究人员发现,上述的ELF文件,自8月起开始活动,锁定全球的电信公司、政府单位、IT公司、金融机构,以及顾问公司等展开攻击。
而在进一步调查之后,Intezer发现攻击者曾于2019年,改造Windows版的Beacon,Windows版本是32位元的EXE可执行文件,执行后会从C2服务器抓取DLL文件,并于内存内(In-memory)执行。其中,经过研究人员分析后,Windows版本与Linux版本不只连接的C2中继站IP地址相同(160.202.163“.”100),具备的功能也一致。由此看来,攻击者在2年之间,目标已经逐渐转移到Linux服务器上。
究竟这个Beacon的功能为何?研究人员指出可执行以下工作:
1.切换文件夹路径
2.取得目前的文件夹路径
3.加入及写入文件
4.上传文件到C2服务器
5.通过popen功能执行命令
6.取得磁盘分区信息
7.列出文件清单
Intezer表示,Vermilion Strike是第一款被用于攻击Linux主机的Cobalt Strike Beacon。而这种针对Linux操作系统而来的攻击,Intezer认为也相当值得各界重视,因为,执行Linux操作系统的服务器,在云计算的环境里具有主导地位,促使近年来陆续有黑客开发对应的攻击工具,而且,相较于Windows环境,安全界已有相当长期的研究,Linux上的威胁侦测率往往较低,使得有越来越多的攻击者会对Linux主机下手,甚至不惜自行打造专用工具。