攻击者打造Linux版Cobalt Strike的Beacon，锁定电信、-、金融业发动攻击

渗透测试工具Cobalt Strike被用于攻击的情况，可说是日益频繁。而这套工具原本是针对Windows环境所打造，如今骇客为了能攻击Linux电脑，也试图反组译并重新改写，制作适用于这类操作系统的Cobalt Strike的Beacon。资安业者Intezer于9月13日，揭露自8月出现的攻击行动，而其中最引起研究人员注意的，就是攻击者使用的工具中，出现了重新以Scratch程式语言制作的Cobalt Strike的Beacon，而且，其中的Linux版本无法被防毒软件识别为有害。

研究人员将这款新的作案工具命名为Vermilion Strike。Intezer最初先是发现了完全无法被侦测的Linux可执行档（ELF），分析之后得知其连线至C2中继站的通讯埠，与Cobalt Strike相同，因而判断这是能够在Linux操作系统执行的Beacon。研究人员指出，他们看到有人在马来西亚上传这个ELF档案到VirusTotal，并且躲过所有防毒引擎的侦测。

根据Intezer与McAfee合作的遥测结果，研究人员发现，上述的ELF档案，自8月起开始活动，锁定全球的电信公司、-单位、IT公司、金融机构，以及顾问公司等展开攻击。

而在进一步调查之后，Intezer发现攻击者曾于2019年，改造Windows版的Beacon，Windows版本是32位元的EXE可执行档案，执行后会从C2服务器抓取DLL档案，并于内存内（In-memory）执行。其中，经过研究人员分析后，Windows版本与Linux版本不只连线的C2中继站IP地址相同（160.202.163[.]100），具备的功能也一致。由此看来，攻击者在2年之间，目标已经逐渐转移到Linux服务器上。

究竟这个Beacon的功能为何？研究人员指出可执行以下工作：

1.切换资料夹路径
2.取得目前的资料夹路径
3.加入及写入档案
4.上传档案到C2服务器
5.透过popen功能执行命令
6.取得磁盘分区资讯
7.列出档案清单

Intezer表示，Vermilion Strike是第一款被用于攻击Linux主机的Cobalt Strike Beacon。而这种针对Linux操作系统而来的攻击，Intezer认为也相当值得各界重视，因为，执行Linux操作系统的服务器，在云端的环境里具有主导地位，促使近年来陆续有骇客开发对应的攻击工具，而且，相较于Windows环境，资安界已有相当长期的研究，Linux上的威胁侦测率往往较低，使得有越来越多的攻击者会对Linux主机下手，甚至不惜自行打造专用工具。