Cobalt Strike es una herramienta ideal para la simulación de ataques realizados por equipos de “red team” o de “pentesting”, la cual tiene como finalidad probar la postura de seguridad de las empresas ante ataques informáticos. Sin embargo, desde hace varios años, esta herramienta también está siendo utilizada por cibercriminales para atacar organizaciones alrededor del mundo.

Se ha observado el beacon de Cobalt Strike en varios ataques famosos, como el ataque de OceanLotus a periodistas en Alemania, y el realizado a Solarwinds, que afectó a empresas como Microsoft y FireEye. Esta herramienta también ha sido utilizada por cibercriminales operadores de ransomware, entre los que se encuentran: Sodinokibi, Ryuk, Maze, DoppelPaymer, Netwalker y Nefilim, en ataques en todo el mundo, incluyendo México y otros países de Latinoamérica.

El uso de Cobalt Strike por parte de los cibercriminales, puede estar estrechamente ligado a que es un “framework” con características y funcionalidades para diferentes etapas del ataque. Por ejemplo, tiene opciones utilizadas como vector inicial que incluyen, entre otras, el spear-phishing, archivos de Microsoft Office con macros maliciosas, aplicaciones HTML maliciosas y el clonado de sitios legítimos. Adicionalmente, su beacon se puede reutilizar para implementar todo tipo de cargas útiles en la red comprometida y su opción malleable PE permite realizar modificaciones en su comportamiento y código para evitar ser detectado por las soluciones de seguridad, así como para agregar mejoras en su operación y capacidades. Otra función que puede ser aprovechada por los cibercriminales, es la denominada malleable C2, la cual permite alterar el tráfico generado por las herramientas de Cobalt Strike para que parezca legítimo y así evadir la detección por firmas o comportamiento de soluciones como IPS, IDS o firewalls. También es posible utilizar la técnica denominada domain fronting, que enmascara el tráfico con el uso de servicios CDN legítimos como Skype y Azure, entre otros.

Con el fin de evitar que los cibercriminales le den un uso inapropiado a Cobalt Strike, sus creadores han implementado muchas protecciones para verificar la identidad de sus clientes y los esquemas de licenciamiento anual. Sin embargo, algunos blogs especializados e investigadores independientes han encontrado múltiples versiones crackeadas con todas sus funcionalidades actualizadas, en mercados negros de software y foros de la dark web.

En conclusión, aunque existan controles por parte de los creadores de la herramienta, el esfuerzo parece no estar dando los resultados esperados. Los cibercriminales siguen utilizando esta herramienta y se continúan observando ataques exitosos. Por tal motivo, las empresas y organizaciones deben mantener una política de monitoreo constante de su infraestructura.  Asimismo, los equipos de seguridad de la información deben mantenerse actualizados sobre las técnicas y herramientas como Cobalt Strike, utilizadas por los cibercriminales, así como definir una estrategia para su detección y erradicación cuando su uso sea para fines no legítimos. Como apoyo a esto, empresas como Cisco Talos han publicado trabajos de investigación sobre los métodos y técnicas utilizadas por Cobalt Strike para la explotación de sistemas, junto con nuevas firmas y métodos de detección para las diferentes herramientas y técnicas utilizadas.

Referencias:
https://www.aldeid.com/wiki/Cobalt-Strike/Attacks
https://blog.cobaltstrike.com/2017/02/06/high-reputation-redirectors-and-domain-fronting/
https://infocyte.com/es/blog/2020/09/02/cobalt-strike-the-new-favorite-among-thieves/
https://www.cobaltstrike.com/help-malleable-postex
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
https://cpj.org/2021/02/vietnam-based-hacking-oceanlotus-targets-journalists/
https://talos-intelligence-site.s3.amazonaws.com/production/document_files/files/000/095/031/original/Talos_Cobalt_Strike.pdf?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIXACIED2SPMSC7GA%2F20210223%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20210223T163045Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Signature=1ad91ed06a5e2552c2585e379f14db20ac4070f2fe3e8aff0902ecc2230eb94a