01.12.2023

Cobalt Strike: Auf der Suche nach dem Beacon

Auf der Suche nach dem Beacon

Cobalt Strike ist eigentlich ein Werkzeug, das für das Red Teaming eingesetzt wird – eine Angriffssimulation also, die wirklichkeitsnah die Abläufe eines echten Angriffes simulieren hilft. Hier sind die verantwortlichen Stellen innerhalb eines Unternehmens, welches die Simulation beauftragt hat, eingeweiht und der Einsatz des Werkzeuges ist zulässig. Seit jedoch verschiedene Versionen dieses Werkzeugs in die Hände von Kriminellen gefallen ist, kommt Cobalt Strike auch oft für echte Angriffe von krimineller Seite zum Einsatz.

Verstecktes Signal

Das Werkzeug arbeitet mit so genannten „Beacons“ (engl. „Signalfeuer“). Diese werden auf einem angegriffenen System abgelegt. Aufgabe dieses Beacons ist, sich regelmäßig beim Command & Control (C2)-Server zu melden, um sich neue Instruktionen abzuholen. Vorteil dieser Methode ist aus Angreifersicht, dass hier keine externe Stelle Verbindung in das Netzwerk aufnimmt, sondern dass die Verbindung von innen nach außen geht. Und da in vielen Fällen ausgehende Verbindungen weniger streng überwacht werden als solche, die von außen aufgebaut werden, bleiben kompromittierte Systeme lange eher unauffällig.

Die Konfiguration ist der Schlüssel

Cobalt Strike Beacons verbringen den Großteil der Zeit „schlafend“ und entfalten keinerlei Aktivität. Sie werden nur in regelmäßigen Abständen für wenige Millisekunden geweckt, in denen sie ihre Aufgaben wahrnehmen. Danach verfällt das Beacon wieder in einen Dornröschenschlaf. Im vorliegenden Fall war es extrem schwer, das Beacon im Arbeitsspeicher zu finden – aber nicht unmöglich. Das Ziel ist immer, an die Konfiguration des Beacons heran zu kommen, denn darin sind die wirklich interessanten Informationen gespeichert, wie zum Beispiel die Adresse des C2-Servers. Doch die Macher von Cobalt Strike haben auch hier Sorge dafür getragen, dass dies nicht einfach ist.

Wie genau man Cobalt Strike auf die Schliche kommen kann, welche Hindernisse es gibt, und wie man unter Zeitdruck die Nadel im Heuhaufen findet, hat unser Kollege Hendrik Eckardt in einem Blog-Artikel auf cyber.wtf beschrieben (Artikel in englischer Sprache; Link öffnet sich in neuem Fenster) 

 


Tim Berghoff

Tim Berghoff

Security Evangelist

Mehr erfahren

Artikel teilen


Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein