Connect with us

Technologie

Cobalt Strike reste l’infrastructure C2 de choix

Published

on


Les serveurs Cobalt Strike Team étaient la forme d’infrastructure de commandement et de contrôle (C2) la plus largement utilisée en 2021 par une marge considérable, suivie de loin par Metasploit, Meterpreter, QakBot et TrickBot, avec l’ancien pilier Emotet qui a disparu après son retrait, pour connaître une résurgence vers la fin de l’année.

C’est ce qui ressort des données récemment publiées rassemblées par le groupe Insikt de Recorded Future et partagées avec Computer Weekly, qui révèlent une image complexe mais très informative de la façon dont les acteurs malveillants préparent et exécutent leurs campagnes cybercriminelles.

Rien que l’année dernière, il a observé plus de 10 000 serveurs C2 uniques dans plus de 80 familles, dominés par les serveurs Cobalt Strike Team et les familles de botnets. Cobalt Strike représentait 3 691 (23,7%) du total des serveurs C2 uniques détectés au cours des 12 derniers mois – il pourrait y en avoir beaucoup d’autres qui sont mieux obscurcis – suivi de Metasploit avec 710, QakBot avec 571, TrickBot avec 468 et Meterpreter avec 396. 2021 a également vu une adoption accrue de Mythic, Covenant et Sliver.

Selon Greg Lesenewich, analyste principal des menaces chez Recorded Future, son vaste ensemble de fonctionnalités et sa prévalence dans l’utilisation quotidienne légitime expliquent la domination continue de l’infrastructure Cobalt Strike.

« Cobalt Strike prend en charge toutes les phases d’une intrusion via un ensemble de fonctionnalités approfondies de développeurs officiels et tiers et est hautement configurable, ce qui en fait un outil puissant pour les acteurs de la menace et les équipes rouges / violettes », a déclaré Lesenewich.

« Il est si fréquemment observé dans les intrusions que son utilisation est presque omniprésente, ce qui rend un peu plus difficile l’attribution ou le lien entre les activités. »

L’année écoulée a également été marquée par la mise en place de serveurs d’équipe Cobalt Strike prêts à l’emploi et leur vente à la clientèle, une tendance également identifiée par d’autres chercheurs de Microsoft et riskIQ.

La chute et l’ascension d’Emotet

En ce qui concerne les botnets en particulier, l’analyse du groupe Insikt a confirmé hors de tout doute que le retrait d’Emotet le 27 janvier 2021 a laissé un vide sur le marché des chargeurs et des botnets que d’autres n’ont pas tardé à combler – notamment TrickBot, avec 571 C2 observés à l’état sauvage par le groupe Insikt.

D’autres botnets prenant le relais étaient QakBot avec 516 C2 détectés, Bazar ou Baza avec 405, Dridex avec 383 et IcedID avec 332. Tous ont été vus comme des précurseurs d’attaques de ransomware, avec TrickBot et Bazar liés à Ryuk et Conti, QakBot favorisé par ProLock et DoppelPaymer, Dridex également fortement utilisé dans les attaques DoppelPaymer, et IcedID lié à Egregor.

Les différents botnets présentaient une variation considérable dans le nombre de serveurs C2 embarqués qu’ils référençaient, Trickbot rappelant en moyenne 20 par configuration d’échantillon, IcedID et Dridex en moyenne trois, et Qakbot avec une moyenne de 142 adresses IP C2 par configuration.

La résurgence d’Emotet après sa réactivation et sa distribution (via TrickBot initialement) a été l’une des plus grandes cyber-histoires des derniers mois de 2021, et depuis novembre, le groupe Insikt a identifié positivement 40 Emotet C2 dérivés d’échantillons prélevés au début et à la fin de 2021, et en outre, 45 serveurs qui partagent des modèles qui seront probablement utilisés par Emotet, et au moins quatre qui hébergent également Dridex.

Les analystes estiment que le taux de création de l’infrastructure Emotet suggère que ses opérateurs ont l’intention de reconquérir son ancienne « gloire », ce qui pourrait être un objectif tout à fait réalisable, selon Lesenewich.

« Compte tenu de la façon dont Emotet a évolué et recommencé le spamming en masse depuis qu’il a commencé à remonter, nous pensons qu’il est probable qu’Emotet soit l’acteur dominant sur le marché. Cela peut en fait alléger le fardeau d’autres logiciels malveillants chargés par Emotet; au lieu d’utiliser plusieurs distributeurs ou d’exécuter eux-mêmes des opérations de spamming, ils peuvent utiliser l’expertise d’Emotet pour obtenir de grandes quantités d’infections et concentrer leurs efforts sur les étapes ultérieures de l’intrusion », a-t-il déclaré.

Il a également noté qu’il n’était pas vraiment possible d’évaluer si les opérateurs actuels étaient nouveaux ou non les mêmes que ceux qui l’exploitaient auparavant.

Indicateurs géographiques

Ventilé par géographie, le groupe Insikt a observé une infrastructure C2 hébergée dans 130 pays, avec 4 654 serveurs hébergés aux États-Unis, 1 949 en Chine et 629 en Allemagne. Parmi les autres sites de premier plan figuraient Hong Kong, la Russie, la France, Singapour, les Pays-Bas et le Royaume-Uni. Il convient toutefois de noter que les serveurs abusés ou malveillants ne représentent qu’un très faible pourcentage du nombre total d’opérateurs de systèmes autonomes (AS), qui dépasse les 60 000 dans le monde.

Les données montrent que les serveurs C2 étaient hébergés à plus de 1 650 20 opérateurs AS avaient plus de 100 serveurs C2 détectés sur eux, Avec Digital Ocean, Choopa (alias The Constant Company) et Amazon les plus fréquemment exploités, suivis par Alibaba et Tencent, puis OVH. Il est important de comprendre qu’il ne s’agit pas d’une indication ou d’une implication de malveillance de la part de ces fournisseurs.

« De nombreux fournisseurs mondiaux prennent ces menaces au sérieux et suppriment rapidement les contrôleurs et les sites de distribution de logiciels malveillants », a déclaré Lesenewich. « Ce que nous ne voyons pas dans nos données, c’est comment un acteur achète des domaines ou loue / loue une adresse IP de serveur. Il serait difficile pour un fournisseur d’hébergement de refuser un service client payant s’il n’utilise pas les mêmes détails ou le même mode de paiement qu’un client précédent qui hébergeait un logiciel malveillant.

Cependant, il est possible de commencer à comprendre quels fournisseurs ferment les yeux ou hébergent sciemment des activités malveillantes si l’on prend en compte le pourcentage total de serveurs qu’ils hébergent et qui sont identifiés comme infrastructure C2.

Ici, on trouve media Land, un fournisseur basé en Russie qui est connu pour être commercialisé comme un fournisseur d’hébergement à toute épreuve sur le dark web – 5,69% de ses hôtes sont des infrastructures C2. Parmi les autres fournisseurs de ce type figurent le brésilien Lider Telecomunicaçoes Eireli, l’allemand Danilenko Artyom et l’international Hosting Solutions du Royaume-Uni.

C2 en ’22

À l’avenir, le groupe Insikt prévoit que 2022 verra des acteurs malveillants accorder plus d’attention au renforcement et à l’obscurcissement de leur infrastructure, après avoir tiré une dure leçon des perturbations causées à Emotet en 2021. Cela pourrait inclure une dépendance accrue à l’égard d’appareils compromis, un recyclage plus régulier de l’infrastructure et l’utilisation d’un nouveau cryptage plus résilient.

Ceux qui utilisent Cobalt Strike adopteront également de plus en plus des méthodes similaires, prédisent les analystes, et il y aura probablement une baisse notable du trafic provenant des moteurs d’analyse connus, et l’utilisation de redirections pour masquer l’emplacement réel du serveur – cela se produit probablement déjà, ont-ils déclaré.

Les analystes s’attendent également à ce que l’environnement C2 se diversifie davantage cette année, avec de nouvelles familles de logiciels malveillants et des frameworks C2 qui sont « conscients » des mesures de renseignement sur les menaces utilisées pour les détecter. Il est donc probable que les analystes de l’information sur les menaces trouvent leurs outils moins efficaces à court terme, en attendant une nouvelle poussée d’innovation parmi les bons.

Pourquoi faire cela?

Le groupe Insikt a suivi la création et la modification de nouvelles infrastructures malveillantes pour un grand nombre de boîtes à outils post-exploitation, de logiciels malveillants et de chevaux de Troie d’accès à distance (RAT) open source et, au cours des cinq dernières années, a créé des détections pour 80 familles, notamment des RAT, des logiciels malveillants APT, des botnets et d’autres outils de base.

Ceci est important car l’identification des infrastructures malveillantes et la façon dont elles sont utilisées peuvent donner aux défenseurs un avantage clair lorsqu’il s’agit de neutraliser les menaces. En effet, avant qu’un acteur malveillant puisse utiliser un serveur, il doit d’abord l’acquérir, soit en le compromettant, soit en l’achetant légitimement. Ensuite, ils doivent passer par un processus de configuration au cours duquel ils ne peuvent s’empêcher de laisser derrière eux des empreintes digitales numériques partout sur le serveur. Quelqu’un qui peut dépoussiérer ces impressions peut donc détecter un serveur malveillant avant qu’il n’ait été utilisé dans des campagnes.

L’identification des serveurs C2 aide également les défenseurs à quantifier l’ampleur des campagnes de menaces et la comparaison de ces données avec les rapports d’incidents réels permet de comprendre combien de cyberattaques sont détectées et combien ne le sont pas. D’autres données recueillies, telles que le rythme de création du serveur, apportent un aperçu supplémentaire des surtensions en attente, ou des accalmies, dans l’activité, ou des preuves de nouvelles techniques et de nouvelles intelligences.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance