欢迎来到五大联赛竞猜

瞄准Linux编制!抨击者改造排泄测试工具Cobalt Strike兼容Linux信标

正文:

9月13日,坦然钻研人员发现了一个由未知暗客结构制作的Cobalt Strike Beacon Linux版本,以在全球周围内扩大现在的抨击。这些抨击针对的是电信公司、当局机构、IT公司、金融机议和询问公司。

代号为Vermilion的要挟走为者修改了Cobalt Strike的一个版本 ,Cobalt Strike是一栽相符法的排泄测试工具,被用作红队的抨击框架。

Cobalt Strike还被要挟走为者(清淡在勒索柔件抨击中删除)用于安放所谓的信标后的后行使义务,这些信标挑供对受感染设备的持悠久程访问。行使信标,抨击者能够晚些访问被损坏的服务器以搜集数据或安放更多的凶意柔件负载。

固然开发该工具是为了协助坦然公司进走排泄测试,模拟要挟参与者行使的技术,但该工具的高级功能也使其成为网络作恶结构的最喜欢。

随着时间的推移,Cobalt Strike的破解副本已被要挟走为者获取并共享,成为数据盗窃和勒索柔件的网络抨击中最常用的工具之一。但此前Cobalt Strike 不息有一个短处,它只声援Windows设备,不包括Linux信标。

Cobalt Strike Beacon移植到Linux

在坦然公司Intezer的一份新通知中,钻研人员注释了要挟走为者如何自走创建与 Cobalt Strike兼容的Linux信标。行使这些信标,抨击者现在能够在Windows和Linux机器上获得持久性和长途命令实走。

钻研人员外示,为了避免凶意柔件被检测到,Vermilion结构开发了Vermilion Strike,这是Cobalt Strike Beacon后门的独一无二的Linux版本。此外,该结构还重新编写了Beacon后门的原起Windows 版本,现在十足未被杀毒柔件检测到。

Vermilion Strike带有与官方Windows 信标相通的配置格式,能够与一切Cobalt Strike 服务器对话,但不行使任何Cobalt Strike的代码。

这栽新的Linux凶意柔件还具有技术上的重叠(相通的功能和命令和限驯服务器),Windows DLL文件挑示联相符个开发人员。

Intezer说:“隐形样本在与C2服务器通信时行使了Cobalt Strike的命令和限制(C2)制定,并具有长途访问功能,如上传文件、运走shell命令和写入文件。”

在发文时,病毒查杀工具中十足异国检测到该凶意柔件,该凶意柔件是从马来西亚上传的。

Vermilion Strike一旦安放在受感染的Linux编制上就能够实走以下义务:

更改做事现在录 获取现在做事现在录 附添/写入文件 上传文件到C2 经过 popen 实走命令 获取磁盘分区 列出文件 自8月以来安放在不息抨击中

经过数据监测,Intezer还发现自2021年8月以来,来自全球电信公司和当局机构、IT 公司、金融机议和询问公司等各个走业的多个结构成为行使Vermilion Strike现在的。

还值得一挑的是,Vermilion Strike并不是唯逐一个将Cobalt Strike的Beacon移植到Linux的端口,它行使了geacon,一个基于go的开源实现,在以前的两年中已经公开。

然而,这是第一个用于真实抨击的Linux实现。现在异国关于抨击者用来针对Linux编制的初起抨击向量的新闻。但经过对其复杂性和运动意图以及该代码从未在其他抨击中展现这些情况进走分析,这栽凶意柔件是由谙练的要挟走为者开发的。

经过对勒索事件的分析能够发现,这些勒索柔件不光不息在更新技术能力,而且对实体造成的损坏主要超出公多认知,每个走业对于勒索柔件抨击都不该存在幸运心绪。

参读链接:

https://www.bleepingcomputer.com/ https://therecord

【编辑选举】

鸿蒙官方战略配相符共建——HarmonyOS技术社区柔件供答链抨击同比添长650%新凶意程序正行使WSL暗藏抨击Windows设备南非司法部遭勒索柔件抨击 导致无法行使一切电子服务HP Sudo漏洞能够使抨击者获得Aruba平台的root权限2021 年开源安设包下载量将超 2.2 万亿,开源抨击添长 650%
posted @ 21-09-18 08:14  作者:admin  阅读量:

Powered by 五大联赛竞猜 @2018 RSS地图 HTML地图