如果现在正在使用CS破解版,并搭建在VPS的师傅们请注意,尽快下线CS不要长期维持使用,否则有封禁的风险!!!
根据这份来自微软官网的文章可以看到,微软与CobaltStrike的开发商 Fortra 合作,开始打击CobaltStrike的破解版本,以此阻止被“网络犯罪分子”使用。
https://blogs.microsoft.com/on-the-issues/2023/04/06/stopping-cybercriminals-from-abusing-security-tools/
第一种方法是与Fortra 合作,针对CobaltStrike 破解版进行识别,从笔者遭遇的情况来判断,应该是本身建立的端口通信而留下的指纹进行识别,并获取到VPS的真实IP,从而联系IP提供商并向你所购买的VPS服务商举报罚款,从而封禁你的VPS服务器,以此实现基础设施脱机。
第二种方法是Fortra 针对CobaltStrike 破解版使用者、破解者进行法律追责,索取代码的版权费,也可能导致部分作者停止更新,对社区环境造成一定影响。
自上一文后,为了排除是CobaltStrike 破解版本身被留后门,当成肉鸡对其他单位发起违法攻击,因此更换为其他多个版本进行测试,并做不同的去特征,但无一例外均在短期内被举报封禁,目前已损失4台匿名VPS。
再次查阅文章可以看到,Fortra 有提及“已经调整了Cobalt Strike软件中的安全控制”,推断会导致现有旧版及之前的破解版都出现明显标记,会被认定为非法攻击设施,从而遇到封禁VPS的情况,这也是为什么多个不同版本均会被查到的原因吧。同时也提及“购买Cobalt Strike许可证的合法安全从业人员会经过Fortra的审查,并需要遵守使用限制和出口管制”说明付费用户是不受影响的,本次主要是针对破解版用户进行的行动。
但是值得注意的是,这篇文章发布于2023年4月6日,也就是说,实际正式行动应该是在2024年1月份开始的,推断依据是在24年之前有部署大量CobaltStrike 破解版,但是几乎没出现过封禁、举报等情况,同时在相关论坛、社群中都没听闻该事件,应该是在24年1月份的时候技术完善正式执行这项计划。
由于笔者对这方面研究不深入,只能依据穷举法、真实经历来推断实现的方法,如果有错误的地方,烦请大佬们指出,不胜感激!
首台被封禁的VPS,在部署CobaltStrike 的时候是做了CDN、去特征等操作的,应当不会被短期内找到真实IP,但是从微软提供的举报信息来看,是直接通过调起的利用生成的木马端口8880/XXXX从而查到的,而在请求的时候应该是域名开头才对,不应该是IP被捕获,因此推断是对VPS进行了扫描?而后续正在测试:通过防火墙设置端口仅对目标IP开放,会不会再次被查到后封禁。
如果是通过扫描VPS开放的端口,那只要针对部分IP开放访问就能解决封禁问题,这很好解决,操作麻烦了一点罢了,但是笔者推测是Fortra 预留了某种后门,针对某些接口进行请求从而主动暴露该主机上部署了CobaltStrike 破解版,因为从微软官网的描述来看,修改了安全机制从而与破解版进行区分,那极大概率是存在一些特定的特征,可被直接调用起来进行判断。
同时向其他团队、其他与GA合作的公司进行同步信息,都有获得部分VPS被封禁的消息,无一例外都是CobaltStrike 破解版所搭建的那几台。
最后强调,如果有部署CobaltStrike 破解版在VPS上,请您养成备份的好习惯,最好短期停止使用,改用其他平台避免损失!
原文始发于微信公众号(樱花庄的本间白猫):关于 CobaltStrike 重大事件