“最危险的红队工具”被清剿，Cobalt Strike非法使用量骤降80%

在网络安全领域，Cobalt Strike堪称一把双刃剑。这款诞生于2012年的对手模拟与渗透测试软件，本是为红队设计的合法工具，用于检测系统漏洞并规划防御策略。然而，它的“黑暗面”却被网络犯罪分子、勒索软件团伙乃至国家支持的攻击者广泛滥用。如今，这一情况正在发生戏剧性转变。安全公司Fortra近日宣布，经过为期两年的全球联合打击行动，野外未经授权的Cobalt Strike副本数量已减少80%。

从合法工具到犯罪利器

Cobalt Strike的问题由来已久。作为一款功能强大的渗透测试工具，它在红队手中是发现漏洞的利器，但在黑客手中却成为攻击的“核武器”。尤其是一些老版本的Cobalt Strike，因缺乏有效授权验证，被非法破解并在地下市场广泛流传。犯罪分子通常通过鱼叉式钓鱼邮件将Cobalt Strike的“信标”（Beacon）植入目标设备，随后利用这一后门程序远程访问受害者网络，窃取数据或部署恶意软件。

微软此前披露，包括俄罗斯、越南和伊朗在内的国家支持的黑客组织，都曾使用破解版的Cobalt Strike。安全专家还发现，该工具在针对医疗机构的大量勒索软件攻击中频频现身，甚至在2022年袭击哥斯达黎加政府的勒索软件事件中扮演了关键角色。

2020年，Fortra收购Cobalt Strike后，开始正视这一长期存在的乱象。自2023年起，Fortra联合微软以及健康信息共享与分析中心（Health-ISAC），启动了一场针对非法版本的全面清剿行动。

全球围剿行动

这场打击行动的转折点出现在2023年3月。美国纽约东区地方法院发布命令，授权微软、Fortra和Health-ISAC追捕与Cobalt Strike非法使用相关的“恶意基础设施”，如指挥与控制（C2）服务器。这一命令允许三方通知相关的互联网服务提供商（ISP）和计算机紧急响应小组（CERT），协助将这些基础设施下线，切断犯罪分子与受害者设备之间的联系。

经过三年的筹备，代号为“Morpheus”的行动在2024年7月达到高潮。在英国国家犯罪局（NCA）的牵头下，全球执法机构与技术团队协作，锁定了与未经授权Cobalt Strike相关的已知IP地址和域名。此次行动覆盖27个国家，共标记了690个IP地址，其中593个已被成功下线。澳大利亚、美国、加拿大、德国、荷兰和波兰等多国执法机构为行动提供了支持。

Fortra在周五的一篇博客中详细披露了成果：“我们成功查封并‘封印’了超过200个恶意域名，有效阻止了它们接收合法流量，防止威胁行为者进一步利用。”此外，行动还将恶意基础设施从初次侦测到下线的平均“存活时间”大幅缩短——在美国，这一时间已降至不到一周，全球范围内则不到两周。

微软立下头功

Fortra报告称，未经授权的Cobalt Strike副本数量减少80%，极大限制了网络犯罪分子的获取渠道。公司副总鲍勃·埃尔德曼（Bob Erdman）在接受Recorded Future News采访时表示，与微软及其他伙伴的合作显著提升了行动的速度与规模。“每移除一个未经授权的Cobalt Strike系统，或查封一个域名，就等于在全球范围内阻断了一次潜在攻击。”他强调，全球执法机构的参与使得情报和威胁指标（IOCs）得以实时共享，为后续执法行动奠定了基础。

微软、Fortra和Health-ISAC的联手，不仅展现了技术公司与执法机构合作的潜力，也为应对类似工具滥用问题提供了范例。Fortra表示，这一成果“显著降低了Cobalt Strike对网络犯罪分子的可用性”，为企业与个人网络安全带来了更多保障。

尽管取得了显著进展，但Cobalt Strike的威胁并未彻底消失。专家指出，只要老版本的破解副本仍然存在地下市场，犯罪分子就可能找到替代途径。更重要的是，类似工具的滥用问题反映了网络安全领域更深层次的挑战：合法工具如何在黑产链条中被“武器化”？

对于Fortra而言，未来的任务不仅是继续打击非法版本，还要通过技术升级和授权管理，防止Cobalt Strike再次落入不法之手。而对于全球网络安全社区来说，“Morpheus”行动的成功或许只是一个开始——如何在技术与监管之间找到平衡，仍是摆在所有人面前的课题。

参考链接：

https://www.cobaltstrike.com/blog/update-stopping-cybercriminals-from-abusing-cobalt-strike