在網(wǎng)絡(luò)安全領(lǐng)域，Cobalt Strike堪稱一把雙刃劍。這款誕生于2012年的對(duì)手模擬與滲透測(cè)試軟件，本是為紅隊(duì)設(shè)計(jì)的合法工具，用于檢測(cè)系統(tǒng)漏洞并規(guī)劃防御策略。然而，它的“黑暗面”卻被網(wǎng)絡(luò)犯罪分子、勒索軟件團(tuán)伙乃至國(guó)家支持的攻擊者廣泛濫用。如今，這一情況正在發(fā)生戲劇性轉(zhuǎn)變。安全公司Fortra近日宣布，經(jīng)過(guò)為期兩年的全球聯(lián)合打擊行動(dòng)，野外未經(jīng)授權(quán)的Cobalt Strike副本數(shù)量已減少80%。

從合法工具到犯罪利器

Cobalt Strike的問(wèn)題由來(lái)已久。作為一款功能強(qiáng)大的滲透測(cè)試工具，它在紅隊(duì)手中是發(fā)現(xiàn)漏洞的利器，但在黑客手中卻成為攻擊的“核武器”。尤其是一些老版本的Cobalt Strike，因缺乏有效授權(quán)驗(yàn)證，被非法破解并在地下市場(chǎng)廣泛流傳。犯罪分子通常通過(guò)魚叉式釣魚郵件將Cobalt Strike的“信標(biāo)”（Beacon）植入目標(biāo)設(shè)備，隨后利用這一后門程序遠(yuǎn)程訪問(wèn)受害者網(wǎng)絡(luò)，竊取數(shù)據(jù)或部署惡意軟件。

微軟此前披露，包括俄羅斯、越南和伊朗在內(nèi)的國(guó)家支持的黑客組織，都曾使用破解版的Cobalt Strike。安全專家還發(fā)現(xiàn)，該工具在針對(duì)醫(yī)療機(jī)構(gòu)的大量勒索軟件攻擊中頻頻現(xiàn)身，甚至在2022年襲擊哥斯達(dá)黎加政府的勒索軟件事件中扮演了關(guān)鍵角色。

2020年，F(xiàn)ortra收購(gòu)Cobalt Strike后，開始正視這一長(zhǎng)期存在的亂象。自2023年起，F(xiàn)ortra聯(lián)合微軟以及健康信息共享與分析中心（Health-ISAC），啟動(dòng)了一場(chǎng)針對(duì)非法版本的全面清剿行動(dòng)。

全球圍剿行動(dòng)

這場(chǎng)打擊行動(dòng)的轉(zhuǎn)折點(diǎn)出現(xiàn)在2023年3月。美國(guó)紐約東區(qū)地方法院發(fā)布命令，授權(quán)微軟、Fortra和Health-ISAC追捕與Cobalt Strike非法使用相關(guān)的“惡意基礎(chǔ)設(shè)施”，如指揮與控制（C2）服務(wù)器。這一命令允許三方通知相關(guān)的互聯(lián)網(wǎng)服務(wù)提供商（ISP）和計(jì)算機(jī)緊急響應(yīng)小組（CERT），協(xié)助將這些基礎(chǔ)設(shè)施下線，切斷犯罪分子與受害者設(shè)備之間的聯(lián)系。

經(jīng)過(guò)三年的籌備，代號(hào)為“Morpheus”的行動(dòng)在2024年7月達(dá)到高潮。在英國(guó)國(guó)家犯罪局（NCA）的牽頭下，全球執(zhí)法機(jī)構(gòu)與技術(shù)團(tuán)隊(duì)協(xié)作，鎖定了與未經(jīng)授權(quán)Cobalt Strike相關(guān)的已知IP地址和域名。此次行動(dòng)覆蓋27個(gè)國(guó)家，共標(biāo)記了690個(gè)IP地址，其中593個(gè)已被成功下線。澳大利亞、美國(guó)、加拿大、德國(guó)、荷蘭和波蘭等多國(guó)執(zhí)法機(jī)構(gòu)為行動(dòng)提供了支持。

Fortra在周五的一篇博客中詳細(xì)披露了成果：“我們成功查封并‘封印’了超過(guò)200個(gè)惡意域名，有效阻止了它們接收合法流量，防止威脅行為者進(jìn)一步利用?！贝送?，行動(dòng)還將惡意基礎(chǔ)設(shè)施從初次偵測(cè)到下線的平均“存活時(shí)間”大幅縮短——在美國(guó)，這一時(shí)間已降至不到一周，全球范圍內(nèi)則不到兩周。

微軟立下頭功

Fortra報(bào)告稱，未經(jīng)授權(quán)的Cobalt Strike副本數(shù)量減少80%，極大限制了網(wǎng)絡(luò)犯罪分子的獲取渠道。公司副總鮑勃·埃爾德曼（Bob Erdman）在接受Recorded Future News采訪時(shí)表示，與微軟及其他伙伴的合作顯著提升了行動(dòng)的速度與規(guī)模?！懊恳瞥粋€(gè)未經(jīng)授權(quán)的Cobalt Strike系統(tǒng)，或查封一個(gè)域名，就等于在全球范圍內(nèi)阻斷了一次潛在攻擊?！彼麖?qiáng)調(diào)，全球執(zhí)法機(jī)構(gòu)的參與使得情報(bào)和威脅指標(biāo)（IOCs）得以實(shí)時(shí)共享，為后續(xù)執(zhí)法行動(dòng)奠定了基礎(chǔ)。

微軟、Fortra和Health-ISAC的聯(lián)手，不僅展現(xiàn)了技術(shù)公司與執(zhí)法機(jī)構(gòu)合作的潛力，也為應(yīng)對(duì)類似工具濫用問(wèn)題提供了范例。Fortra表示，這一成果“顯著降低了Cobalt Strike對(duì)網(wǎng)絡(luò)犯罪分子的可用性”，為企業(yè)與個(gè)人網(wǎng)絡(luò)安全帶來(lái)了更多保障。

盡管取得了顯著進(jìn)展，但Cobalt Strike的威脅并未徹底消失。專家指出，只要老版本的破解副本仍然存在地下市場(chǎng)，犯罪分子就可能找到替代途徑。更重要的是，類似工具的濫用問(wèn)題反映了網(wǎng)絡(luò)安全領(lǐng)域更深層次的挑戰(zhàn)：合法工具如何在黑產(chǎn)鏈條中被“武器化”？

對(duì)于Fortra而言，未來(lái)的任務(wù)不僅是繼續(xù)打擊非法版本，還要通過(guò)技術(shù)升級(jí)和授權(quán)管理，防止Cobalt Strike再次落入不法之手。而對(duì)于全球網(wǎng)絡(luò)安全社區(qū)來(lái)說(shuō)，“Morpheus”行動(dòng)的成功或許只是一個(gè)開始——如何在技術(shù)與監(jiān)管之間找到平衡，仍是擺在所有人面前的課題。