2020年十大最流行的攻击性安全工具

admin 2021年5月6日18:28:09评论122 views字数 1863阅读6分12秒阅读模式

点击蓝字关注我们




2020年十大最流行的攻击性安全工具


众所周知,APT团体和网络犯罪分子以及红队经常使用相同的攻击性安全工具。根据Recorded Future最新发布的《2020对手基础设施研究报告》,防御者应当高度重视对攻击性安全工具的检测,因为无论是红队还是APT小组的精英操作员、人工勒索软件团伙或普通网络罪犯都越来越多地使用攻击性安全工具来削减成本。


报告显示,Cobalt Strike和Metasploit是2020年最常用于托管恶意软件命令与控制(C2)服务器的进攻性安全工具。TOP10榜单如下:


2020年十大最流行的攻击性安全工具


Cobalt Strike和Metasploit为何如此流行?


去年,Insikt Group的研究人员在记录了80个恶意软件家族的超过1万多台C2服务器信息。其中1,441台C2服务器使用了Cobalt Strike,1122台使用了Metasploit,加起来,二者占C2服务器总数的25%。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5%。


攻击性安全工具(也称为渗透测试工具和红队工具)近年来已成为攻击者工具包的一部分。其中一些工具模仿了攻击者的活动,攻击小组也都开始尝试整合渗透测试技术。


在C2基础结构中发现的几乎所有攻击性安全工具都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花(Ocean Lotus)和网络犯罪团伙FIN7的最爱。Metasploit则在APT集团Evilnum和Turla(与俄罗斯有联系的隐形APT集团)中很受欢迎。


Recorded Future的高级情报分析师Greg Lesnewich指出:“有趣的是,Metasploit在成熟的间谍团体Turla和以公司间谍活动为目标的雇佣军团体Evilnum中都广受欢迎。”


报告指出,研究人员检测到的攻击性安全工具中,有40%以上是开源的。这些工具的可访问性和维护性吸引了各种技能和水平的攻击者。其中Metasploit是Rapid7开发的维护良好的开源进攻工具。而Cobalt Strike虽然不是开放源代码项目,但在源代码泄漏后,互联网上出现了多个Cobalt Strike版本。红队通常会购买该工具,但实际上任何人都可以使用它,网络上还有大量入门指南。


Lesnewich解释说:“无论在初始访问还是利用后阶段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一点是,这两个工具在整个攻击周期中可以大大减少甚至避免开发工作,而且还不容易从大量使用者中被识别出来(难以归因)。”


如何让尖矛变利盾?


攻击性安全工具对网络安全战场上的所有人都有利。低技能的攻击者可以很快上手操作,而高技能的攻击者也可以与公司的进攻性安全实践相融合,从这些工具优良的功能中受益。


但是在有些场景中,攻击小组未必需要这些工具。例如,任务很单一不需要动用太多功能,或者针对的是个人而不是企业,不需要完全检查目标设备。


Cobalt Strike和Metasploit对于“紫色团队”也非常友好。尽管两者都在逃避检测方面做了很多工作,但他们也向防御者充分展示了如何检测和跟踪其部署。Recorded Future报告中所列举的这10种最常用的攻击性安全工具,可用于通知C2,或基于主机和基于网络的检测。


他解释说:“尽管上述所有小组都可以开发自己的利用后框架或C2框架,但对于防御者而言,攻击性安全工具的效能取决于编写了多少文档来检测这些问题。”


有了检测文档,蓝队可以练习分析清单上这些有着类似开源代码但并不常见的载荷,例如跟踪一些不是很流行的恶意软件家族。


Lesnewich建议安全团队分析以前的威胁报告,创建优先级列表。推荐使用的工具包括用于终结点威胁的开源检测工具Yara和等效于网络检测的Snort。


其次,建议安全团队仔细研究公司的SIEM和SOAR平台以发现异常行为,例如,两个原本应该与服务器通信的端点相互之间通信。


总之,跟踪攻击性安全工具的恶意使用只是防御性安全流程的一个步骤,也是帮助防御者熟悉如何检测并观察工具开发来龙去脉的一种有效方法。在此基础上,安全团队可以开始跟踪其他威胁,包括Emotet和Trickbot,以及任何其他在环境中产生噪音的威胁。


相关阅读

2020年APT威胁八大趋势

2020年二季度Web安全工具TOP5

DeimosC2:给红队省钱的C2开源工具


2020年十大最流行的攻击性安全工具

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:[email protected]





2020年十大最流行的攻击性安全工具

本文始发于微信公众号(安全牛):2020年十大最流行的攻击性安全工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月6日18:28:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2020年十大最流行的攻击性安全工具https://cn-sec.com/archives/241621.html

发表评论

匿名网友 填写信息