網絡犯罪分子使用的工具中的漏洞現在正在幫助研究人員揭示成千上萬個惡意軟件命令與控制(C&C)服務器的位置。

自今年年初以來已修補的漏洞影響了Cobalt Strike，這是安全研究人員用來模擬網絡攻擊的合法滲透測試工具。

Cobalt Strike已經存在了十多年，但在過去的五年中，它也逐漸被網絡犯罪組織所采用。

惡意軟件幫派和國家級網絡間諜團體已使用Cobalt Strike，因為它具有簡單而高效的客戶端-服務器架構。

網絡犯罪分子使用Cobalt Strike托管其C&C服務器，然后通過它們在受感染主機上植入的Cobalt“信標”將惡意軟件部署在公司網絡上。

在過去的幾年中，Cobalt Strike逐漸成為許多威脅參與者的首選工具包，例如FIN6和FIN7(Carbanak)網絡犯罪幫派，以及民族國家的黑客，例如APT29(Cozy Bear)。

但是所有這些黑客組織都不知道的是Fox-IT研究人員發現了Cobalt Strike服務器組件中的錯誤。騙子基于基于Java的Web服務器NanoHTTPD構建，不知道它包含一個錯誤，該錯誤使Fox-IT自2015年以來就可以對其進行跟蹤。

根據Fox-IT研究人員的說法，NanoHTTPD服務器意外地在服務器的HTTP響應中添加了額外的空間，如下圖所示。

這些額外的空白使Fox-IT多年來可以檢測信標與其C&C服務器之間的Cobalt Strike通信，直到2019年1月2日，當時Cobalt Strike開發人員修補了該錯誤并刪除了版本3.13中的多余空間。

該公司在本周的博客中說：“在2015-01到2019-02期間，Fox-IT總共觀察到7718臺獨特的Cobalt Strike團隊服務器或NanoHTTPD主機。”

由于此問題已得到修補，Fox-IT研究人員揭示了此小技巧，以及一列曾經或仍在托管Cobalt Strike C&C服務器的歷史IP地址。

該公司希望安全團隊使用此列表檢查其IP地址的網絡日志，并確定過去或當前的安全漏洞。

其中一些IP地址可能屬于安全公司出于測試目的托管的合法Cobalt Strike實例，但Fox-IT認為其中許多也來自黑客組織。

他們說，粗略檢查了他們的7700多個IP地址列表，發現與中國APT10政府黑客部門，Bokbot銀行木馬綁定的惡意C&C服務器以及由Cobalt Group(也稱為FIN7或Carbanak)的殘余物管理的服務器。

運行ZoomEye IoT搜索引擎的中國網絡安全公司KnownSec 404 Team通過確定3,643臺基于Cobalt Strike NanoHTTPD的服務器仍在運行中，證實了Fox-IT的發現，其中86%的服務器也在Fox-IT上該公司表示。

Fox-IT表示，隨著對服務器進行修補，當前對多余空格的掃描變得越來越少。

但是，該公司表示，大多數威脅行為者傾向于使用盜版，破解和未注冊的Cobalt Strike軟件，因此將在很長一段時間內保持未打補丁的狀態。

由于合法擁有的服務器將收到Cobalt Strike修補程序，因此在未來的掃描過程中將出現的大多數服務器很可能是惡意軟件操作的一部分。