在網絡安全領域，Cobalt Strike堪稱一把雙刃劍。這款誕生于2012年的對手模擬與滲透測試軟件，本是為紅隊設計的合法工具，用于檢測系統漏洞并規劃防御策略。然而，它的“黑暗面”卻被網絡犯罪分子、勒索軟件團伙乃至國家支持的攻擊者廣泛濫用。如今，這一情況正在發生戲劇性轉變。安全公司Fortra近日宣布，經過為期兩年的全球聯合打擊行動，野外未經授權的Cobalt Strike副本數量已減少80%。

從合法工具到犯罪利器

Cobalt Strike的問題由來已久。作為一款功能強大的滲透測試工具，它在紅隊手中是發現漏洞的利器，但在黑客手中卻成為攻擊的“核武器”。尤其是一些老版本的Cobalt Strike，因缺乏有效授權驗證，被非法破解并在地下市場廣泛流傳。犯罪分子通常通過魚叉式釣魚郵件將Cobalt Strike的“信標”（Beacon）植入目標設備，隨后利用這一后門程序遠程訪問受害者網絡，竊取數據或部署惡意軟件。

微軟此前披露，包括俄羅斯、越南和伊朗在內的國家支持的黑客組織，都曾使用破解版的Cobalt Strike。安全專家還發現，該工具在針對醫療機構的大量勒索軟件攻擊中頻頻現身，甚至在2022年襲擊哥斯達黎加政府的勒索軟件事件中扮演了關鍵角色。

2020年，Fortra收購Cobalt Strike后，開始正視這一長期存在的亂象。自2023年起，Fortra聯合微軟以及健康信息共享與分析中心（Health-ISAC），啟動了一場針對非法版本的全面清剿行動。

全球圍剿行動

這場打擊行動的轉折點出現在2023年3月。美國紐約東區地方法院發布命令，授權微軟、Fortra和Health-ISAC追捕與Cobalt Strike非法使用相關的“惡意基礎設施”，如指揮與控制（C2）服務器。這一命令允許三方通知相關的互聯網服務提供商（ISP）和計算機緊急響應小組（CERT），協助將這些基礎設施下線，切斷犯罪分子與受害者設備之間的聯系。

經過三年的籌備，代號為“Morpheus”的行動在2024年7月達到高潮。在英國國家犯罪局（NCA）的牽頭下，全球執法機構與技術團隊協作，鎖定了與未經授權Cobalt Strike相關的已知IP地址和域名。此次行動覆蓋27個國家，共標記了690個IP地址，其中593個已被成功下線。澳大利亞、美國、加拿大、德國、荷蘭和波蘭等多國執法機構為行動提供了支持。

Fortra在周五的一篇博客中詳細披露了成果：“我們成功查封并‘封印’了超過200個惡意域名，有效阻止了它們接收合法流量，防止威脅行為者進一步利用。”此外，行動還將惡意基礎設施從初次偵測到下線的平均“存活時間”大幅縮短——在美國，這一時間已降至不到一周，全球范圍內則不到兩周。

微軟立下頭功

Fortra報告稱，未經授權的Cobalt Strike副本數量減少80%，極大限制了網絡犯罪分子的獲取渠道。公司副總鮑勃·埃爾德曼（Bob Erdman）在接受Recorded Future News采訪時表示，與微軟及其他伙伴的合作顯著提升了行動的速度與規模。“每移除一個未經授權的Cobalt Strike系統，或查封一個域名，就等于在全球范圍內阻斷了一次潛在攻擊。”他強調，全球執法機構的參與使得情報和威脅指標（IOCs）得以實時共享，為后續執法行動奠定了基礎。

微軟、Fortra和Health-ISAC的聯手，不僅展現了技術公司與執法機構合作的潛力，也為應對類似工具濫用問題提供了范例。Fortra表示，這一成果“顯著降低了Cobalt Strike對網絡犯罪分子的可用性”，為企業與個人網絡安全帶來了更多保障。

盡管取得了顯著進展，但Cobalt Strike的威脅并未徹底消失。專家指出，只要老版本的破解副本仍然存在地下市場，犯罪分子就可能找到替代途徑。更重要的是，類似工具的濫用問題反映了網絡安全領域更深層次的挑戰：合法工具如何在黑產鏈條中被“武器化”？

對于Fortra而言，未來的任務不僅是繼續打擊非法版本，還要通過技術升級和授權管理，防止Cobalt Strike再次落入不法之手。而對于全球網絡安全社區來說，“Morpheus”行動的成功或許只是一個開始——如何在技術與監管之間找到平衡，仍是擺在所有人面前的課題。