Bei einer Incident Response gleicht die Suche nach einer Schadsoftware oft der sprichwörtlichen Suche nach der Nadel im Heuhaufen. Nur, dass man im Falle von Cobalt Strike oft nicht weiß, wie die Nadel überhaupt aussieht – und die Uhr läuft bei der Suche gegen einen.
Cobalt Strike ist eigentlich ein Werkzeug, das für das Red Teaming eingesetzt wird – eine Angriffssimulation also, die wirklichkeitsnah die Abläufe eines echten Angriffes simulieren hilft. Hier sind die verantwortlichen Stellen innerhalb eines Unternehmens, welches die Simulation beauftragt hat, eingeweiht und der Einsatz des Werkzeuges ist zulässig. Seit jedoch verschiedene Versionen dieses Werkzeugs in die Hände von Kriminellen gefallen ist, kommt Cobalt Strike auch oft für echte Angriffe von krimineller Seite zum Einsatz.
Verstecktes Signal
Das Werkzeug arbeitet mit so genannten „Beacons“ (engl. „Signalfeuer“). Diese werden auf einem angegriffenen System abgelegt. Aufgabe dieses Beacons ist, sich regelmäßig beim Command & Control (C2)-Server zu melden, um sich neue Instruktionen abzuholen. Vorteil dieser Methode ist aus Angreifersicht, dass hier keine externe Stelle Verbindung in das Netzwerk aufnimmt, sondern dass die Verbindung von innen nach außen geht. Und da in vielen Fällen ausgehende Verbindungen weniger streng überwacht werden als solche, die von außen aufgebaut werden, bleiben kompromittierte Systeme lange eher unauffällig.
Die Konfiguration ist der Schlüssel
Cobalt Strike Beacons verbringen den Großteil der Zeit „schlafend“ und entfalten keinerlei Aktivität. Sie werden nur in regelmäßigen Abständen für wenige Millisekunden geweckt, in denen sie ihre Aufgaben wahrnehmen. Danach verfällt das Beacon wieder in einen Dornröschenschlaf. Im vorliegenden Fall war es extrem schwer, das Beacon im Arbeitsspeicher zu finden – aber nicht unmöglich. Das Ziel ist immer, an die Konfiguration des Beacons heran zu kommen, denn darin sind die wirklich interessanten Informationen gespeichert, wie zum Beispiel die Adresse des C2-Servers. Doch die Macher von Cobalt Strike haben auch hier Sorge dafür getragen, dass dies nicht einfach ist.
Wie genau man Cobalt Strike auf die Schliche kommen kann, welche Hindernisse es gibt, und wie man unter Zeitdruck die Nadel im Heuhaufen findet, hat unser Kollege Hendrik Eckardt in einem Blog-Artikel auf cyber.wtf beschrieben (Artikel in englischer Sprache; Link öffnet sich in neuem Fenster)
Tim Berghoff
Security Evangelist