众所周知,APT团体、网络犯罪分子和红队经常使用相同的攻击性安全工具。Recorded Future防最新发布的《2020年对手基础设施研究报告》中,防御者应高度重视对攻击性安全工具的检测,因为无论是红队还是红队APT越来越多的精英操作员、人工勒索软件团伙或普通网络罪犯使用攻击性安全工具来降低成本。
报告显示,Cobalt Strike和Metasploit是2020年最常用于托管恶意软件命令与控制(C2)攻击性安全工具的服务器。TOP10榜单如下:
Cobalt Strike和Metasploit为什么这么受欢迎?
去年,Insikt Group研究人员记录了80个恶意软件家族的1万多个C2服务器信息。其中141台C2使用了服务器Cobalt Strike,1122台使用了Metasploit,加起来,两者占C2服务器总数的25%。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5%。
近年来,攻击性安全工具(也称为渗透测试工具和红队工具)已成为攻击者工具包的一部分。一些工具模仿攻击者的活动,攻击小组开始尝试整合渗透测试技术。
在C2几乎所有在基础设施中发现的攻击性安全工具和APT或与高级金融黑客有关。Cobalt Strike是越南APT组织海莲花(Ocean Lotus)网络犯罪团伙FIN7的最爱。Metasploit则在APT集团Evilnum和Turla(与俄罗斯有联系的隐形APT集团)很受欢迎。
Recorded Future高级情报分析师Greg Lesnewich指出:“有趣的是,Metasploit成熟的间谍团体Turla以公司间谍活动为目标的雇佣军团体Evilnum中都广受欢迎。”
报告指出,40%以上的攻击性安全工具是开源的。这些工具的可访问性和维护性吸引了各种技能和水平的攻击者。Metasploit是Rapid7开发和维护良好的开源攻击工具。Cobalt Strike虽然不是开源代码项目,但在源代码泄露后,互联网上出现了很多Cobalt Strike版本。红队通常会购买这个工具,但实际上任何人都可以使用它,网上有很多入门指南。
Lesnewich解释说:“无论是初始访问还是利用后,Metasploit和Cobalt Strike你可以做很多工作。最重要的是,这两种工具可以在整个攻击周期中大大减少甚至避免开发工作,不易从大量用户中识别(难以归因)。”
如何利用尖矛?
攻击性安全工具对网络安全战场上的所有人都有利。低技能的攻击者可以很快上手操作,而高技能的攻击者也可以与公司的进攻性安全实践相融合,从这些工具优良的功能中受益。
但在某些情况下,攻击小组可能不需要这些工具。例如,任务非常单一,不需要使用太多的功能,或针对个人而不是企业,不需要完全检查目标设备。
Cobalt Strike和Metasploit对于“紫色团队”也很友好。虽然两者都做了很多逃避检测的工作,但他们也充分展示了如何检测和跟踪防御者的部署。Recorded Future报告中列出的10种最常用的攻击性安全工具可用于通知C2,或基于主机和基于网络的检测。
他解释说:“尽管上述所有小组都可以开发自己的后框架或使用C2但对于防御者来说,攻击性安全工具的效率取决于编写了多少文档来检测这些问题。”
有了测试文档,蓝队可以练习分析清单上类似开源代码但不常见的负载,比如跟踪一些不太流行的恶意软件家族。
Lesnewich建议安全团队分析以前的威胁报告,并创建优先级列表。推荐的工具包括用于终点威胁的开源检测工具Yara等效于网络检测Snort。
其次,建议安全团队认真研究公司SIEM和SOAR平台发现异常行为,例如,两个应该与服务器通信的端点相互通信。
总之,跟踪攻击性安全工具的恶意使用只是防御性安全过程的一步,也是帮助防御者熟悉如何检测和观察工具开发背景的有效在此基础上,安全团队可以开始跟踪其他威胁,包括Emotet和Trickbot,以及任何其他在环境中产生噪音的威胁。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章