众所周知,APT组织与网络犯罪分子和红队经常使用相同的攻击性安全工具。根据RecordedFuture最新的《2020对手基础设施研究报告》,防御者应该高度重视攻击性安全工具的检测,因为精英运营者,无论是红队还是APT组织,人类勒索软件团伙,还是普通的网络犯罪分子都越来越多地使用攻击性安全工具来削减成本。报告称,CobaltStrike和Metasploit是2020年最常用的用于托管恶意软件命令和控制(C2)服务器的攻击性安全工具。TOP10榜单如下:为什么CobaltStrike和Metasploit如此受欢迎?去年,InsiktGroup的研究人员记录了80个恶意软件家族的10,000多条C2服务器信息。1,441个C2服务器使用CobaltStrike,1,122个使用Metasploit。两者合计占C2服务器总数的25%。在13.5%的已识别C2服务器中检测到未更改的CobaltStrike部署。近年来,攻击性安全工具(也称为渗透测试工具和红队工具)已成为攻击者工具包的一部分。其中一些工具模仿攻击者的活动,攻击组织开始尝试整合渗透测试技术。C2基础设施中发现的几乎所有攻击性安全工具都与APT或高级金融黑客有关。CobaltStrike是越南APT组织OceanLotus和网络犯罪团伙FIN7的最爱。Metasploit在APT组织Evilnum和Turla(一个与俄罗斯有联系的秘密APT组织)中很受欢迎。RecordedFuture的高级情报分析师GregLesnewich指出:“有趣的是,Metasploit在老牌间谍组织Turla和针对企业间谍活动的雇佣军组织Evilnum中越来越受欢迎。”超过40%的攻击性安全工具是开源的。这些工具的可访问性和可维护性吸引了各种技能和水平的攻击者。其中,Metasploit是由Rapid7开发的一款维护良好的开源攻击工具。CobaltStrike虽然不是开源项目,但在源代码泄露后,网上出现了多个版本的CobaltStrike。红队经常购买这个工具,但实际上任何人都可以使用它,而且网上有很多操作指南。“Metasploit和CobaltStrike可以做很多事情,无论是在初始访问阶段还是后期开发阶段,但重点是这两个工具可以大大减少甚至消除整个攻击周期的开发工作量,而且它们还不容易被识别(难以归因)来自大量用户。”如何将长矛变成盾牌?攻击性安全工具对网络安全战场上的每个人都有好处。低技能的攻击者可以快速掌握它,而高技能的攻击者可以融入公司的攻击性安全实践,以从这些工具的卓越功能中获益。但在某些场景下,攻击团队可能不需要这些工具。比如任务很简单,不需要太多的功能,或者是针对个人而不是企业,不需要对目标设备进行全面检查。CobaltStrike和Metasploit对“紫色团队”也非常友好。虽然两者都在逃避检测,但它们也向防御者展示了如何检测和跟踪他们的部署。RecordedFuture报告中列出的这10种最常见的攻击性安全工具可用于通知C2,或基于主机和基于网络的检测。“虽然上述所有组织都可以开发自己的后开发或C2框架,但对于防御者来说,攻击性安全工具的有效性取决于为检测这些问题而编写的文档数量,”他解释道。通过检测文档,蓝队可以练习分析列表中具有类似开源代码但不太常见的有效载荷,例如跟踪一些不太流行的恶意软件家族。Lesnewich建议安全团队分析以前的威胁报告以创建优先级列表。推荐的工具包括用于端点威胁的开源检测工具Yara和网络检测等效工具Snort。其次,建议安全团队仔细查看公司的SIEM和SOAR平台,以发现异常行为,例如本应与服务器通信的两个端点相互通信。总之,跟踪攻击性安全工具的恶意使用只是防御性安全过程中的一个步骤,也是让防御者熟悉如何检测和观察工具开发来龙去脉的有效途径。从那里,安全团队可以开始跟踪其他威胁,包括Emotet和Trickbot,以及在环境中产生噪音的任何其他威胁。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
