2020年十大最流行的攻擊性安全工具
責(zé)編:gltian |2021-01-19 11:00:23
眾所周知,APT團(tuán)體和網(wǎng)絡(luò)犯罪分子以及紅隊(duì)經(jīng)常使用相同的攻擊性安全工具。根據(jù)Recorded Future最新發(fā)布的《2020對(duì)手基礎(chǔ)設(shè)施研究報(bào)告》,防御者應(yīng)當(dāng)高度重視對(duì)攻擊性安全工具的檢測(cè),因?yàn)闊o(wú)論是紅隊(duì)還是APT小組的精英操作員、人工勒索軟件團(tuán)伙或普通網(wǎng)絡(luò)罪犯都越來(lái)越多地使用攻擊性安全工具來(lái)削減成本。
報(bào)告顯示,Cobalt Strike和Metasploit是2020年最常用于托管惡意軟件命令與控制(C2)服務(wù)器的進(jìn)攻性安全工具。TOP10榜單如下:
Cobalt Strike和Metasploit為何如此流行?
去年, Insikt Group的研究人員在記錄了80個(gè)惡意軟件家族的超過(guò)1萬(wàn)多臺(tái)C2服務(wù)器信息。其中1,441臺(tái)C2服務(wù)器使用了Cobalt Strike,1122臺(tái)使用了Metasploit;加起來(lái),二者占C2服務(wù)器總數(shù)的25%。檢測(cè)到未更改的Cobalt Strike部署占已確定的C2服務(wù)器的13.5%。
攻擊性安全工具(也稱為滲透測(cè)試工具和紅隊(duì)工具)近年來(lái)已成為攻擊者工具包的一部分。其中一些工具模仿了攻擊者的活動(dòng),攻擊小組也都開始嘗試整合滲透測(cè)試技術(shù)。
在C2基礎(chǔ)結(jié)構(gòu)中發(fā)現(xiàn)的幾乎所有攻擊性安全工具都與APT或高級(jí)金融黑客相關(guān)。Cobalt Strike是越南APT組織海蓮花(Ocean Lotus)和網(wǎng)絡(luò)犯罪團(tuán)伙FIN7的最愛。Metasploit則在APT集團(tuán)Evilnum和Turla(與俄羅斯有聯(lián)系的隱形APT集團(tuán))中很受歡迎。
Recorded Future的高級(jí)情報(bào)分析師Greg Lesnewich指出,有趣的是,Metasploit在成熟的間諜團(tuán)體Turla和以公司間諜活動(dòng)為目標(biāo)的雇傭軍團(tuán)體Evilnum中都廣受歡迎。
報(bào)告指出,研究人員檢測(cè)到的攻擊性安全工具中,有40%以上是開源的。這些工具的可訪問(wèn)性和維護(hù)性吸引了各種技能和水平的攻擊者。其中Metasploit是Rapid7開發(fā)的維護(hù)良好的開源進(jìn)攻工具。而Cobalt Strike雖然不是開放源代碼項(xiàng)目,但在源代碼泄漏后,互聯(lián)網(wǎng)上出現(xiàn)了多個(gè)Cobalt Strike版本。紅隊(duì)通常會(huì)購(gòu)買該工具,但實(shí)際上任何人都可以使用它,網(wǎng)絡(luò)上還有大量入門指南。
Lesnewich解釋說(shuō),無(wú)論在初始訪問(wèn)還是利用后階段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一點(diǎn)是,這兩個(gè)工具在整個(gè)攻擊周期中可以大大減少甚至避免開發(fā)工作,而且還不容易被從大量使用者中被識(shí)別出來(lái)(難以歸因)。
如何讓尖矛變利盾?
攻擊性安全工具對(duì)網(wǎng)絡(luò)安全戰(zhàn)場(chǎng)上的所有人都有利。低技能的攻擊者可以很快上手操作,而高技能的攻擊者也可以與公司的進(jìn)攻性安全實(shí)踐相融合,從這些工具優(yōu)良的功能中受益。
但是在有些場(chǎng)景中,攻擊小組未必需要這些工具。例如,任務(wù)很單一不需要?jiǎng)佑锰喙δ埽蛘哚槍?duì)的是個(gè)人而不是企業(yè),不需要完全檢查目標(biāo)設(shè)備。
Cobalt Strike和Metasploit對(duì)于“紫色團(tuán)隊(duì)”也非常友好。盡管兩者都在逃避檢測(cè)方面做了很多工作,但他們也向防御者充分展示了如何檢測(cè)和跟蹤其部署。Recorded Future報(bào)告中所列舉的這10種最常用的攻擊性安全工具,可用于通知C2、或基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)。
他解釋說(shuō):“盡管上述所有小組都可以開發(fā)自己的利用后框架或C2框架,但對(duì)于防御者而言,攻擊性安全工具的效能取決于編寫了多少文檔來(lái)檢測(cè)這些問(wèn)題。”
有了檢測(cè)文檔,藍(lán)隊(duì)可以練習(xí)分析清單上這些有著類似開源代碼但并不常見的載荷,例如跟蹤一些不是很流行的惡意軟件家族。
Lesnewich建議安全團(tuán)隊(duì)分析以前的威脅報(bào)告,創(chuàng)建優(yōu)先級(jí)列表。推薦使用的工具包括用于終結(jié)點(diǎn)威脅的開源檢測(cè)工具Yara和等效于網(wǎng)絡(luò)檢測(cè)的Snort。
其次,建議安全團(tuán)隊(duì)仔細(xì)研究公司的SIEM和SOAR平臺(tái)以發(fā)現(xiàn)異常行為,例如,兩個(gè)原本應(yīng)該與服務(wù)器通信的端點(diǎn)相互之間通信。
總之,跟蹤攻擊性安全工具的惡意使用只是防御性安全流程的一個(gè)步驟,也是幫助防御者熟悉如何檢測(cè)并觀察工具開發(fā)來(lái)龍去脈的一種有效方法。在此基礎(chǔ)上,安全團(tuán)隊(duì)可以開始跟蹤其他威脅,包括Emotet和Trickbot,以及任何其他在環(huán)境中產(chǎn)生噪音的威脅。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧