13 nov 2020

¿Código de Cobalt Strike compartido en Github?

Al parecer el código crackeado de la herramienta Cobalt Strike 4.0, favorita de hackers éticos y delincuentes, ha sido compartido en Github.

Cobalt Strike es un software de post explotación, simulación de adversarios y operaciones de Red Team y es utilizado por miles de expertos en el mundo de hacking del mundo y también por los delincuentes. A pesar de que fue desarrollada como una herramienta legítima, y recientemente adquirida por HelpSystems, los delincuentes la utilizan para realizar ataques a dispositivos comprometidos con el fin de crear shells, ejecutar scripts PowerShell, escalar privilegios, generar nuevas sesiones en los sistemas afectados y obtener acceso remoto persistente a una red comprometida.

Reportes recientes sugieren que Cobalt Strike podría haberse filtrado y publicado hace 12 días en el repositorio (aún activo) de Github. Pero, si bien la noticia parece reciente, el código fuente de Cobalt Strike v3.14 ya estaba disponible en GitHub desde hace 13 meses, y fue descompilado antes de que se publicara este nuevo repositorio.

Según lo que indica el archivo "src/main/resources/about.html", este código fuente habría sido lanzado el 05 de diciembre de 2019 y también se puede verse que todo lo referente a la validación de la licencia ha sido comentado y el programa sería utilizable por cualquiera que decida compilarlo.

Vitali Kremez, un investigador que examinó el código fuente, cree que el código Java fue descompilado manualmente. Posteriormente la persona corrigió las dependencias y eliminó la verificación de la licencia para que pudiera compilarse. Desde su publicación, el repositorio se ha bifurcado ciento de veces, por lo que ya es prácticamente imposible detener su propagación.

Si bien no se trata del código fuente original, esta filtración es suficiente motivo de preocupación para la comunidad de la ciberseguridad: "Este incidente podría tener consecuencias serias para todos los profesionales en sistemas y seguridad, pues elimina cualquier restricción para obtener esta herramienta, facilitando su acceso para los grupos cibercriminales", agrega el investigador.

Diversos miembros de la comunidad de la ciberseguridad se han puesto en contacto con Cobalt Strike y su empresa matriz Help Systems para confirmar la autenticidad del código fuente, aunque la compañía no se ha pronunciado al respecto. 

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!