Cobalt Strike – De herramienta a trampa – Cuando la maldad empuña el arma
Es un tema clásico en el cine: un arma de gran poder o de destrucción masiva cae en las manos equivocadas. Muchas películas de James Bond han utilizado este guion, que ha demostrado ser todo un éxito. Por desgracia, también se ha convertido en un guion habitual en el mundillo de la ciberseguridad, en la que hackers y organizaciones de ciberdelincuentes con respaldo económico utilizan herramientas de hacking blanco para llevar a cabo sus propios actos maliciosos. Sin embargo, a diferencia de las películas, en este caso los malos suelen ganar.
¿Qué es Cobalt Strike?
Cobalt Strike es una herramienta comercial de software de pruebas de penetración y emulación de amenazas concebida para hackers blancos, equipos rojos y profesionales de la ciberseguridad. Está diseñada para simular estrategias de amenazas avanzadas con el fin de ayudar a las organizaciones a evaluar sus propias defensas. Publicada por primera vez en 2012, está disponible a través de Fortra, que sigue publicando nuevas versiones con conjuntos de funciones ampliados y actualizaciones que le permiten adaptarse a las nuevas tácticas, técnicas y procedimientos (TTP) que se observan en las amenazas del mundo real.
El marco Cobalt Strike está formado por dos componentes. El primero es el software principal que ofrece funcionalidades de cara al usuario para gestionar y ejecutar las operaciones del equipo rojo. Este software se instala en el equipo principal del operador. El otro componente es el Servidor de Equipo Cobalt Strike, que hace las veces de centro de mando y control de las operaciones de Cobalt Strike. Este servidor se instala en una máquina remota, normalmente en la nube, para que sea accesible por todas las redes objetivo. El servidor realiza tareas tales como generación de cargas útiles, gestión de comunicaciones y funciones de registro.
El Faro
El objetivo principal de los actores de amenazas no es sólo introducirse en una red u obtener acceso a un host, su objetivo es crear un centro de mando y control (C2) dentro del sistema vulnerado con el fin de llevar a cabo tareas de reconocimiento y lanzar ataques posteriores. El “faro”, de Cobalt Strike facilita esta tarea estableciendo una puerta trasera de carácter evasivo. Esto permite, tanto a los hackers éticos como a los actores maliciosos, mantener el acceso y llevar a cabo operaciones de larga duración. Y, como el faro actúa principalmente en la memoria del sistema, es difícil de detectar. Mediante la comunicación asíncrona a través de HTTPS y otros protocolos C2, permite a los atacantes remotos distribuir malware, ejecutar comandos y subir archivos.
La simplicidad de Cobalt Strike
La licencia de Cobalt Strike es por usuario y no es barata. Pero a pesar de su elevado precio, ofrece mucho valor y por eso es tan popular en la comunidad dedicada a la seguridad. Una de sus características más apreciadas es que, a pesar de su sofisticación y su amplio conjunto de funciones, está diseñada para ser fácil de usar y sencilla de manejar. Otras cualidades apreciadas son:
- A diferencia de otras herramientas que sólo utilizan comandos, Cobalt Strike ofrece una interfaz gráfica que también ofrece una visión completa del entorno comprometido.
- Permite que varios operadores accedan al mismo host comprometido, lo que posibilita las pruebas de penetración colaborativas a los equipos rojos.
- El software incluye un conjunto completo de herramientas “postexplotación” que permite a los usuarios llevar a cabo desplazamientos laterales y elevación de privilegios tras la intrusión inicial en el host.
- Cobalt Strike ofrece una gran cantidad de documentación, formación y apoyo de la comunidad para ayudar a los nuevos usuarios a iniciarse y a los usuarios veteranos a profundizar en sus conocimientos.
Sirve para amigos y enemigos
Cobalt Strike es un arma de doble filo. No cabe duda de que forma parte de una larga lista de herramientas y aplicaciones bienintencionadas que han sido usadas con fines nefastos. Otro ejemplo lo tenemos en Windows RDP, que surgió como una herramienta de trabajo remoto durante el inicio de la pandemia de coronavirus, pero terminó convirtiéndose en una lucrativa vía de acceso remoto aprovechada por los hackers.
Al igual que RDP, el COVID disparó el uso de Cobalt entre la comunidad de hackers de sombrero negro, y su uso en ciberataques se disparó un 161% en 2020. Resulta que Cobalt Strike es igualmente adecuado para amigos y enemigos, lo que pone de manifiesto el tema recurrente de la reutilización de herramientas y plataformas legítimas con fines maliciosos. Según un informe de 2022, los servidores de equipo de Cobalt Strike fueron el tipo de infraestructura de mando y control (C2) más utilizado en 2021. Otro informe sobre amenazas relativo al cuarto trimestre de 2022 muestra que Cobalt Strike fue la herramienta maliciosa más utilizada por los grupos de ransomware durante ese periodo. También fue la segunda herramienta más utilizada en las campañas de ataques patrocinados por el Estado denunciadas durante ese periodo, con la mitad de los servidores detectados alojados en China.
Restricciones de compra
El uso generalizado de Cobalt Strike entre hackers malintencionados no es culpa directa de Fortra. La empresa impone restricciones para limitar la distribución de su software de emulación de ataques únicamente a los profesionales de la seguridad. Entonces, ¿cómo lo obtienen los actores maliciosos? En muchos casos, de la misma manera que obtienen acceso a la información de identificación personal de millones de personas cada año: mediante el robo. Los actores malintencionados publican recompensas en efectivo en la Dark Web a cambio de copias de las versiones más recientes. En particular, muchos servidores de Cobalt Strike funcionan con versiones obsoletas y licencias crackeadas, un signo distintivo de uso malintencionado.
Por qué es difícil detener a Cobalt Strike
Lo que hay que tener presente es que estos actores de amenazas no utilizan Cobalt Strike para infiltrarse en su organización con el fin de satisfacer su curiosidad. Para ellos, se trata de un negocio, en el que todo gira en torno al dinero. No les importa su empresa ni el daño que puedan causarle con sus ataques. Para ellos, no es más que otro día en la oficina. Debido a su facilidad de uso y a su interfaz fácil de usar, incluso los delincuentes menos avanzados técnicamente pueden hacer un uso rápido de esta herramienta y sacarle provecho.
Esto significa que necesita una forma de detener los ataques de Cobalt Strike. Como se mencionó anteriormente, ’el faro’ actúa principalmente dentro de la memoria, lo que hace que esta herramienta sigilosa sea difícil de detectar. Gracias a su facilidad de adaptación, puede modificarse para adaptarse a necesidades específicas y eludir la detección de las soluciones de seguridad convencionales. Cobalt Strike también puede integrarse con otras herramientas de hacking populares, aumentando así sus capacidades y convirtiéndolo en un componente central de muchos conjuntos de herramientas de ciberataque.
Para las empresas que carecen de los conocimientos necesarios para detener los ataques más complejos de Cobalt Strike, un centro de operaciones de seguridad (SOC) puede ser una gran opción. Respaldados por sus propios procesos y herramientas, los equipos de los SOC están formados por profesionales de la ciberseguridad altamente capacitados y experimentados que a menudo tienen experiencia de primera mano trabajando con herramientas como Cobalt Strike. Esto les confiere la capacidad innata de reconocer este tipo de ataques y mitigarlos adecuadamente.
Conclusión
Irónicamente, algunas de las mismas organizaciones que emplean Cobalt Strike para su legítima defensa, a veces tienen que defenderse de actores maliciosos que utilizan la misma herramienta. Aunque es fácil menospreciar la existencia de Cobalt Strike, este software presta un valioso servicio a quienes lo adquieren legítimamente. Tal vez el refrán “toda moneda tiene dos caras” pueda aplicarse en esta situación, ya que es necesario considerar todos los aspectos antes de emitir un juicio o tomar una decisión.