在用钓鱼邮件和有毒的电子表格欺骗了一名员工后,黑客利用该员工的受感染电脑侵入爱尔兰公共卫生系统,并在网络中进行了数周的隧道穿越。他们在医院之间徘徊,浏览文件夹,打开私人文件,并将感染传播到数千台其他计算机和服务器。
在他们提出赎金要求时,他们已经劫持了80%以上的IT系统,迫使超过10万人的组织离线,并危及数千名患者的生命。
攻击者利用一种强大工具的“破解”、滥用和未经授权的遗留版本,发动了2021年对爱尔兰卫生服务执行局(HSE)的袭击。合法的安全专业人员在防御测试中使用该工具来模拟网络攻击,该工具也成为犯罪分子最喜欢的工具,他们窃取和操纵旧版本,在世界各地发动勒索软件攻击。在过去两年里,黑客使用Cobalt Strike工具的破解副本试图感染大约150万台设备。
但Microsoft和该工具的所有者Fortra现在已经配备了法院命令授权他们查封与软件破解版本相关的基础设施。该命令还允许微软破坏与滥用其软件代码相关的基础设施,犯罪分子在一些攻击中使用这些代码禁用防病毒系统。自4月份执行该命令以来,受感染的IP地址数量急剧下降。
微软公司助理总法律顾问理查德·博斯科维奇(Richard Boscovich)表示:“在此类案件中,我们想传达的信息是:‘如果你认为你可以通过武器化我们的产品逃脱惩罚,那你就大吃一惊了。’”数字犯罪股(DCU)和该单位恶意软件分析与破坏团队负责人。
打击Cobalt Strike的努力始于2021年,当时DCU(一个兼收并蓄的全球网络犯罪打击组织)希望进一步遏制勒索软件攻击的上升。以前的操作针对单个僵尸网络,如骗子和Necurs公司但勒索软件调查员杰森·莱昂斯(Jason Lyons)提出了一项针对许多恶意软件团体的重大行动,重点关注他们的共同点:使用破解的遗留Cobalt Strike。
莱昂斯说:“我们一直认为破解的Cobalt Strike是勒索软件攻击中被利用的中间工具。”他根据针对Windows客户的攻击的内部情报进行评估。
里昂曾是美国陆军的反间谍特工,曾在许多夜晚和周末应对勒索事件和违规行为。他说,一次追捕许多罪犯的机会是“给坏人带来些许痛苦,也打断他们的夜晚和周末”。
但在微软开始施加痛苦之前,它需要先清理自己的房子,并清除Azure的Cobalt Strike漏洞。Rodel Finones是一名负责解构和分析恶意软件的逆向工程师,他很快开始工作。几年前,他从微软Defender Antivirus团队调到DCU,在打击犯罪方面发挥更积极的作用。
Finones构建了一个爬虫,可以连接到Azure上的每个活动的、公共的Cobalt Strike命令和控制服务器,以及后来的互联网。服务器与受感染的设备进行通信,并允许操作员监视网络、横向移动和加密文件。他还开始调查勒索软件运营商是如何在攻击中滥用微软软件的。
但爬行是不够的。调查人员面临着一个挑战,即如何区分钴罢工的有效安全用途和威胁行为体的非法用途。Fortra公司为其销售的每一款Cobalt Strike工具包发布一个唯一的许可证号码或水印,这为破解副本提供了法医线索。但该公司并不是最初操作的一部分,DCU调查员在清理Azure时独自建立了与客户攻击相关的内部水印目录。
与此同时,Fortra在2020年收购了Cobalt Strike,也在致力于解决罪犯使用破解拷贝的问题。Forta负责研发的副总裁鲍勃·埃尔德曼(Bob Erdman)表示,当微软提出联合运营时,公司需要时间来确保与微软的合作是正确的。
微软曾一度试图购买Cobalt Strike的副本,以帮助调查人员了解该工具。Forta拒绝了。
里昂说:“现在这是一个有趣的故事,但我们不知道Fortra是否会与我们合作。”。
“我们不只是卖给任何想要它的人,”埃德曼回应道。
Fortra于2023年初加入行动,并提供了一份200多个“非法”水印的列表,这些水印与3500台未经授权的Cobalt Strike服务器相连。该公司一直在进行自己的调查,并增加了新的安全控制措施,但与微软的合作提供了规模、额外专业知识以及保护其工具和互联网的另一种方法。在调查过程中,Fortra和微软分析了大约50000份破解的Cobalt Strike的独特副本。
“这对我们俩来说真的是一场很好的比赛,”埃德曼说。“这是一种很好的合作方式,让每个人都能更好地合作。”
这一合作关系对微软来说也是一个胜利,Fortra的洞察力和水印列表大大扩展了操作的范围。它帮助这些公司提起诉讼,将恶意基础设施与16名未具名的被告联系起来,每个被告都是不同的威胁集团。