2020年十大流行的攻擊性安全工具
眾所周知,APT團體和網絡犯罪分子以及紅隊經常使用相同的攻擊性安全工具。根據Recorded Future最新發布的《2020對手基礎設施研究報告》,防御者應當高度重視對攻擊性安全工具的檢測,因為無論是紅隊還是APT小組的精英操作員、人工勒索軟件團伙或普通網絡罪犯都越來越多地使用攻擊性安全工具來削減成本。
報告顯示,Cobalt Strike和Metasploit是2020年最常用于托管惡意軟件命令與控制(C2)服務器的進攻性安全工具。TOP10榜單如下:
Cobalt Strike和Metasploit為何如此流行?
去年,Insikt Group的研究人員在記錄了80個惡意軟件家族的超過1萬多臺C2服務器信息。其中1,441臺C2服務器使用了Cobalt Strike,1122臺使用了Metasploit,加起來,二者占C2服務器總數的25%。檢測到未更改的Cobalt Strike部署占已確定的C2服務器的13.5%。
攻擊性安全工具(也稱為滲透測試工具和紅隊工具)近年來已成為攻擊者工具包的一部分。其中一些工具模仿了攻擊者的活動,攻擊小組也都開始嘗試整合滲透測試技術。
在C2基礎結構中發現的幾乎所有攻擊性安全工具都與APT或高級金融黑客相關。Cobalt Strike是越南APT組織海蓮花(Ocean Lotus)和網絡犯罪團伙FIN7的最愛。Metasploit則在APT集團Evilnum和Turla(與俄羅斯有聯系的隱形APT集團)中很受歡迎。
Recorded Future的高級情報分析師Greg Lesnewich指出:“有趣的是,Metasploit在成熟的間諜團體Turla和以公司間諜活動為目標的雇傭軍團體Evilnum中都廣受歡迎。”
報告指出,研究人員檢測到的攻擊性安全工具中,有40%以上是開源的。這些工具的可訪問性和維護性吸引了各種技能和水平的攻擊者。其中Metasploit是Rapid7開發的維護良好的開源進攻工具。而Cobalt Strike雖然不是開放源代碼項目,但在源代碼泄漏后,互聯網上出現了多個Cobalt Strike版本。紅隊通常會購買該工具,但實際上任何人都可以使用它,網絡上還有大量入門指南。
Lesnewich解釋說:“無論在初始訪問還是利用后階段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一點是,這兩個工具在整個攻擊周期中可以大大減少甚至避免開發工作,而且還不容易從大量使用者中被識別出來(難以歸因)。”
如何讓尖矛變利盾?
攻擊性安全工具對網絡安全戰場上的所有人都有利。低技能的攻擊者可以很快上手操作,而高技能的攻擊者也可以與公司的進攻性安全實踐相融合,從這些工具優良的功能中受益。
但是在有些場景中,攻擊小組未必需要這些工具。例如,任務很單一不需要動用太多功能,或者針對的是個人而不是企業,不需要完全檢查目標設備。
Cobalt Strike和Metasploit對于“紫色團隊”也非常友好。盡管兩者都在逃避檢測方面做了很多工作,但他們也向防御者充分展示了如何檢測和跟蹤其部署。Recorded Future報告中所列舉的這10種最常用的攻擊性安全工具,可用于通知C2,或基于主機和基于網絡的檢測。
他解釋說:“盡管上述所有小組都可以開發自己的利用后框架或C2框架,但對于防御者而言,攻擊性安全工具的效能取決于編寫了多少文檔來檢測這些問題。”
有了檢測文檔,藍隊可以練習分析清單上這些有著類似開源代碼但并不常見的載荷,例如跟蹤一些不是很流行的惡意軟件家族。
Lesnewich建議安全團隊分析以前的威脅報告,創建優先級列表。推薦使用的工具包括用于終結點威脅的開源檢測工具Yara和等效于網絡檢測的Snort。
其次,建議安全團隊仔細研究公司的SIEM和SOAR平臺以發現異常行為,例如,兩個原本應該與服務器通信的端點相互之間通信。
總之,跟蹤攻擊性安全工具的惡意使用只是防御性安全流程的一個步驟,也是幫助防御者熟悉如何檢測并觀察工具開發來龍去脈的一種有效方法。在此基礎上,安全團隊可以開始跟蹤其他威脅,包括Emotet和Trickbot,以及任何其他在環境中產生噪音的威脅。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
