《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 2020年十大最流行的攻擊性安全工具

2020年十大最流行的攻擊性安全工具

2021-01-14
來源:安全牛
關(guān)鍵詞: 安全工具 進(jìn)攻性

  眾所周知,APT團(tuán)體和網(wǎng)絡(luò)犯罪分子以及紅隊經(jīng)常使用相同的攻擊性安全工具。根據(jù)Recorded Future最新發(fā)布的《2020對手基礎(chǔ)設(shè)施研究報告》,防御者應(yīng)當(dāng)高度重視對攻擊性安全工具的檢測,因為無論是紅隊還是APT小組的精英操作員、人工勒索軟件團(tuán)伙或普通網(wǎng)絡(luò)罪犯都越來越多地使用攻擊性安全工具來削減成本。

  報告顯示,Cobalt Strike和Metasploit是2020年最常用于托管惡意軟件命令與控制(C2)服務(wù)器的進(jìn)攻性安全工具。TOP10榜單如下:

  微信圖片_20210114104903.png

  Cobalt Strike和Metasploit為何如此流行?

  去年,Insikt Group的研究人員在記錄了80個惡意軟件家族的超過1萬多臺C2服務(wù)器信息。其中1,441臺C2服務(wù)器使用了Cobalt Strike,1122臺使用了Metasploit,加起來,二者占C2服務(wù)器總數(shù)的25%。檢測到未更改的Cobalt Strike部署占已確定的C2服務(wù)器的13.5%。

  攻擊性安全工具(也稱為滲透測試工具和紅隊工具)近年來已成為攻擊者工具包的一部分。其中一些工具模仿了攻擊者的活動,攻擊小組也都開始嘗試整合滲透測試技術(shù)。

  在C2基礎(chǔ)結(jié)構(gòu)中發(fā)現(xiàn)的幾乎所有攻擊性安全工具都與APT或高級金融黑客相關(guān)。Cobalt Strike是越南APT組織海蓮花(Ocean Lotus)和網(wǎng)絡(luò)犯罪團(tuán)伙FIN7的最愛。Metasploit則在APT集團(tuán)Evilnum和Turla(與俄羅斯有聯(lián)系的隱形APT集團(tuán))中很受歡迎。

  Recorded Future的高級情報分析師Greg Lesnewich指出:“有趣的是,Metasploit在成熟的間諜團(tuán)體Turla和以公司間諜活動為目標(biāo)的雇傭軍團(tuán)體Evilnum中都廣受歡迎?!?/p>

  報告指出,研究人員檢測到的攻擊性安全工具中,有40%以上是開源的。這些工具的可訪問性和維護(hù)性吸引了各種技能和水平的攻擊者。其中Metasploit是Rapid7開發(fā)的維護(hù)良好的開源進(jìn)攻工具。而Cobalt Strike雖然不是開放源代碼項目,但在源代碼泄漏后,互聯(lián)網(wǎng)上出現(xiàn)了多個Cobalt Strike版本。紅隊通常會購買該工具,但實際上任何人都可以使用它,網(wǎng)絡(luò)上還有大量入門指南。

  Lesnewich解釋說:“無論在初始訪問還是利用后階段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一點是,這兩個工具在整個攻擊周期中可以大大減少甚至避免開發(fā)工作,而且還不容易從大量使用者中被識別出來(難以歸因)?!?/p>

  如何讓尖矛變利盾?

  攻擊性安全工具對網(wǎng)絡(luò)安全戰(zhàn)場上的所有人都有利。低技能的攻擊者可以很快上手操作,而高技能的攻擊者也可以與公司的進(jìn)攻性安全實踐相融合,從這些工具優(yōu)良的功能中受益。

  但是在有些場景中,攻擊小組未必需要這些工具。例如,任務(wù)很單一不需要動用太多功能,或者針對的是個人而不是企業(yè),不需要完全檢查目標(biāo)設(shè)備。

  Cobalt Strike和Metasploit對于“紫色團(tuán)隊”也非常友好。盡管兩者都在逃避檢測方面做了很多工作,但他們也向防御者充分展示了如何檢測和跟蹤其部署。Recorded Future報告中所列舉的這10種最常用的攻擊性安全工具,可用于通知C2,或基于主機和基于網(wǎng)絡(luò)的檢測。

  他解釋說:“盡管上述所有小組都可以開發(fā)自己的利用后框架或C2框架,但對于防御者而言,攻擊性安全工具的效能取決于編寫了多少文檔來檢測這些問題?!?/p>

  有了檢測文檔,藍(lán)隊可以練習(xí)分析清單上這些有著類似開源代碼但并不常見的載荷,例如跟蹤一些不是很流行的惡意軟件家族。

  Lesnewich建議安全團(tuán)隊分析以前的威脅報告,創(chuàng)建優(yōu)先級列表。推薦使用的工具包括用于終結(jié)點威脅的開源檢測工具Yara和等效于網(wǎng)絡(luò)檢測的Snort。

  其次,建議安全團(tuán)隊仔細(xì)研究公司的SIEM和SOAR平臺以發(fā)現(xiàn)異常行為,例如,兩個原本應(yīng)該與服務(wù)器通信的端點相互之間通信。

  總之,跟蹤攻擊性安全工具的惡意使用只是防御性安全流程的一個步驟,也是幫助防御者熟悉如何檢測并觀察工具開發(fā)來龍去脈的一種有效方法。在此基礎(chǔ)上,安全團(tuán)隊可以開始跟蹤其他威脅,包括Emotet和Trickbot,以及任何其他在環(huán)境中產(chǎn)生噪音的威脅。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。