众所周知,APT团体和网络犯罪分子以及红队经常使用相同的攻击性安全工具。根据Recorded Future最新发布的《2020对手基础设施研究报告》,防御者应当高度重视对攻击性安全工具的检测,因为无论是红队还是APT小组的精英操作员、人工勒索软件团伙或普通网络罪犯都越来越多地使用攻击性安全工具来削减成本。
报告显示,Cobalt Strike和Metasploit是2020年最常用于托管恶意软件命令与控制(C2)服务器的进攻性安全工具。TOP10榜单如下:
Cobalt Strike和Metasploit为何如此流行?
去年,Insikt Group的研究人员在记录了80个恶意软件家族的超过1万多台C2服务器信息。其中1,441台C2服务器使用了Cobalt Strike,1122台使用了Metasploit,加起来,二者占C2服务器总数的25%。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5%。
攻击性安全工具(也称为渗透测试工具和红队工具)近年来已成为攻击者工具包的一部分。其中一些工具模仿了攻击者的活动,攻击小组也都开始尝试整合渗透测试技术。
在C2基础结构中发现的几乎所有攻击性安全工具都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花(Ocean Lotus)和网络犯罪团伙FIN7的最爱。Metasploit则在APT集团Evilnum和Turla(与俄罗斯有联系的隐形APT集团)中很受欢迎。
Recorded Future的高级情报分析师Greg Lesnewich指出:“有趣的是,Metasploit在成熟的间谍团体Turla和以公司间谍活动为目标的雇佣军团体Evilnum中都广受欢迎。”
报告指出,研究人员检测到的攻击性安全工具中,有40%以上是开源的。这些工具的可访问性和维护性吸引了各种技能和水平的攻击者。其中Metasploit是Rapid7开发的维护良好的开源进攻工具。而Cobalt Strike虽然不是开放源代码项目,但在源代码泄漏后,互联网上出现了多个Cobalt Strike版本。红队通常会购买该工具,但实际上任何人都可以使用它,网络上还有大量入门指南。
Lesnewich解释说:“无论在初始访问还是利用后阶段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一点是,这两个工具在整个攻击周期中可以大大减少甚至避免开发工作,而且还不容易从大量使用者中被识别出来(难以归因)。”
如何让尖矛变利盾?
攻击性安全工具对网络安全战场上的所有人都有利。低技能的攻击者可以很快上手操作,而高技能的攻击者也可以与公司的进攻性安全实践相融合,从这些工具优良的功能中受益。
但是在有些场景中,攻击小组未必需要这些工具。例如,任务很单一不需要动用太多功能,或者针对的是个人而不是企业,不需要完全检查目标设备。
Cobalt Strike和Metasploit对于“紫色团队”也非常友好。尽管两者都在逃避检测方面做了很多工作,但他们也向防御者充分展示了如何检测和跟踪其部署。Recorded Future报告中所列举的这10种最常用的攻击性安全工具,可用于通知C2,或基于主机和基于网络的检测。
他解释说:“尽管上述所有小组都可以开发自己的利用后框架或C2框架,但对于防御者而言,攻击性安全工具的效能取决于编写了多少文档来检测这些问题。”
有了检测文档,蓝队可以练习分析清单上这些有着类似开源代码但并不常见的载荷,例如跟踪一些不是很流行的恶意软件家族。
Lesnewich建议安全团队分析以前的威胁报告,创建优先级列表。推荐使用的工具包括用于终结点威胁的开源检测工具Yara和等效于网络检测的Snort。
其次,建议安全团队仔细研究公司的SIEM和SOAR平台以发现异常行为,例如,两个原本应该与服务器通信的端点相互之间通信。
总之,跟踪攻击性安全工具的恶意使用只是防御性安全流程的一个步骤,也是帮助防御者熟悉如何检测并观察工具开发来龙去脉的一种有效方法。在此基础上,安全团队可以开始跟踪其他威胁,包括Emotet和Trickbot,以及任何其他在环境中产生噪音的威胁。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】