Cobalt Strikeの細切れで検出回避

Cobalt Strikeを使用するThreat Actorは多く存在します。
Threat Actorが期待する多くの機能をCobalt Strikeは提供します。
でも、防御側もその事実を知っています。
このため、普通に思いつく方法でCobalt Strikeを侵害先に持ち込むことは容易ではなくなってきていると思われます。
いかにして検出されることなく活動を実施するかがThreat Actorにとっての興味のポイントとなっていると考えられます。

新しい持ち込み手法が観測されています。

• 持ち込みたいバイナリをBase64でエンコードする
• エンコードした長い文字列を775文字ごとに分割し、それをtextファイルに書き込む
  ここまでが持ち込むものの準備です。
  準備できたものを侵害先に転送します。

   

• certutilというWindowsの組み込みツールを使ってデコードする

Base64でエンコードされたうえに多くの改行コードを挿入された状態のファイルが持ち込まれるという感じです。
いったいどういったシステムでならこの脅威を検出することができるでしょうか。
そして持ち込みに成功した攻撃のために使用するペイロードのデコードは現地にある標準コマンドで実施しようというのです。
powershellやwindowsコマンドシェルさえ侵入先で利用できれば、簡単にバイナリに復元できるのです。

今回観測されているのはCobalt Strikeの持ち込みでしたが、これは手法ですので他のバイナリにも適用できます。
攻撃によっては侵害先ホストの上での挙動の監視だけでは検出が困難でネットワーク上の挙動の監視でなければ発見が困難なものが存在します。
一方でこの例のように、ネットワーク上の挙動の監視だけでは検出が困難な例も出てきているといえそうです。
防御側はホストの動作とネットワークの動作を両方とも監視する体制が必要ということになりそうです。

参考記事（外部リンク）：APT41 World Tour 2021 on a tight schedule
blog.group-ib.com/apt41-world-tour-2021