渗透测试工具Cobalt Strike存在DoS漏洞，可以用来遏阻攻击行动

渗透测试工具Cobalt Strike是红队演练实用的工具之一，近年来也有越来越多的攻击者滥用这款工具，根据资安公司Proofpoint的统计，在2019年到2020年之间，滥用Cobalt Strike的攻击行动爆增161%。对此，如何阻止攻击者滥用该渗透测试工具的行为，也成为资安研究员研究的对象。资安业者SentinelOne发现在4.2与4.3版的Cobalt Strike里，存在名为Hotcobalt的阻断服务（DoS）漏洞CVE-2021-36798，一旦资安人员运用这项漏洞，就可以拦阻攻击者远端控制受害目标的行为。

基本上，软件出现漏洞，通常是受害系统曝露遭受攻击的危险，但如今出现漏洞的是被攻击者滥用的渗透测试工具，也使得资安人员与执法单位能用来防堵网络攻击。

为了让资安人员更容易研究Cobalt Strike的Beacon通讯机制，SentinelOne也提供了以Python打造的程式库，来协助他们解析其通讯内容。

这项漏洞涉及Cobalt Strike服务器（亦称为Teamserver）与Beacon之间的通讯。SentinelOne解释其中的运作流程：一般来说，Teamserver第一次执行时，会随机产生公用与私有的RSA金钥，并存放于名为.Cobalt Strike.beacon_keys的档案，而每个Beacon讯号发送器（Stager）都内嵌公用的金钥。

当讯号发送器在受害电脑执行时，会收集电脑资讯，诸如中央处理器架构、键盘布局、内部IP地址等，并透过前述公钥加密并回传给Teamserver，发出HTTP GET请求向服务器注册。一旦注册成功之后，Beacon就能接收攻击者下达的指令并执行工作。

但SentinelOne指出，在执行Screenshot和Keylogger工作的回传结果中，服务器必须分配指定大小的缓冲区来容纳档案，对此，研究人员发现，可以借由控制传送的屏幕截图档案大小，来让Cobalt Strike服务器分配特定容量的内存作为缓冲区，导致服务器的内存消耗殆尽。

利用这项漏洞，研究人员利用伪造的Beacon，向Teamserver发送假的任务资料，或是异常大的屏幕截图，来占用Teamserver的内存空间，导致该服务器的内存耗尽而无法回应，造成阻断服务的局面，换言之，这样的情况使得所有的Beacon无法与该服务器通讯。

对此，SentinelOne指出，除非管理者将Teamserver重开机，才能暂时摆脱内存耗尽的情况，攻击者很可能再度发动攻击来瘫痪Cobalt Strike的运作。该公司也发布了概念性验证（PoC）攻击程式。

由于Cobalt Strike也被攻击者大肆滥用，执法单位与资安研究人员可能可以透过Hotcobalt漏洞，来关闭攻击者的基础设施。而对于这个漏洞的揭露，SentinelOne于4月20日通报给HelpSystems，HelpSystems则于8月4日发布了Cobalt Strike 4.4予以修补。