2020年十大最流行的攻击性安全工具

自媒体 自媒体

点击蓝字关注我们 [本文来自:www.11jj.com]


[转载出处:www.11jj.com]



众所周知,APT团体和网络犯罪分子以及红队经常使用相同的攻击性安全工具。根据Recorded Future最新发布的《2020对手基础设施研究报告》,防御者应当高度重视对攻击性安全工具的检测,因为无论是红队还是APT小组的精英操作员、人工勒索软件团伙或普通网络罪犯都越来越多地使用攻击性安全工具来削减成本。


报告显示,Cobalt Strike和Metasploit是2020年最常用于托管恶意软件命令与控制(C2)服务器的进攻性安全工具。TOP10榜单如下:



Cobalt Strike和Metasploit为何如此流行?


去年,Insikt Group的研究人员在记录了80个恶意软件家族的超过1万多台C2服务器信息。其中1,441台C2服务器使用了Cobalt Strike,1122台使用了Metasploit,加起来,二者占C2服务器总数的25%。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5%。


攻击性安全工具(也称为渗透测试工具和红队工具)近年来已成为攻击者工具包的一部分。其中一些工具模仿了攻击者的活动,攻击小组也都开始尝试整合渗透测试技术。


在C2基础结构中发现的几乎所有攻击性安全工具都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花(Ocean Lotus)和网络犯罪团伙FIN7的最爱。Metasploit则在APT集团Evilnum和Turla(与俄罗斯有联系的隐形APT集团)中很受欢迎。


Recorded Future的高级情报分析师Greg Lesnewich指出:“有趣的是,Metasploit在成熟的间谍团体Turla和以公司间谍活动为目标的雇佣军团体Evilnum中都广受欢迎。”


报告指出,研究人员检测到的攻击性安全工具中,有40%以上是开源的。这些工具的可访问性和维护性吸引了各种技能和水平的攻击者。其中Metasploit是Rapid7开发的维护良好的开源进攻工具。而Cobalt Strike虽然不是开放源代码项目,但在源代码泄漏后,互联网上出现了多个Cobalt Strike版本。红队通常会购买该工具,但实际上任何人都可以使用它,网络上还有大量入门指南。


Lesnewich解释说:“无论在初始访问还是利用后阶段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一点是,这两个工具在整个攻击周期中可以大大减少甚至避免开发工作,而且还不容易从大量使用者中被识别出来(难以归因)。”


如何让尖矛变利盾?


攻击性安全工具对网络安全战场上的所有人都有利。低技能的攻击者可以很快上手操作,而高技能的攻击者也可以与公司的进攻性安全实践相融合,从这些工具优良的功能中受益。


但是在有些场景中,攻击小组未必需要这些工具。例如,任务很单一不需要动用太多功能,或者针对的是个人而不是企业,不需要完全检查目标设备。


Cobalt Strike和Metasploit对于“紫色团队”也非常友好。尽管两者都在逃避检测方面做了很多工作,但他们也向防御者充分展示了如何检测和跟踪其部署。Recorded Future报告中所列举的这10种最常用的攻击性安全工具,可用于通知C2,或基于主机和基于网络的检测。


他解释说:“尽管上述所有小组都可以开发自己的利用后框架或C2框架,但对于防御者而言,攻击性安全工具的效能取决于编写了多少文档来检测这些问题。”


有了检测文档,蓝队可以练习分析清单上这些有着类似开源代码但并不常见的载荷,例如跟踪一些不是很流行的恶意软件家族。


Lesnewich建议安全团队分析以前的威胁报告,创建优先级列表。推荐使用的工具包括用于终结点威胁的开源检测工具Yara和等效于网络检测的Snort。


其次,建议安全团队仔细研究公司的SIEM和SOAR平台以发现异常行为,例如,两个原本应该与服务器通信的端点相互之间通信。


总之,跟踪攻击性安全工具的恶意使用只是防御性安全流程的一个步骤,也是帮助防御者熟悉如何检测并观察工具开发来龙去脉的一种有效方法。在此基础上,安全团队可以开始跟踪其他威胁,包括Emotet和Trickbot,以及任何其他在环境中产生噪音的威胁。


相关阅读

2020年APT威胁八大趋势

2020年二季度Web安全工具TOP5

DeimosC2:给红队省钱的C2开源工具


合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com





自媒体微信号:11jj扫描二维码关注公众号
爱八卦,爱爆料。
小编推荐
  1. NO.1 AI技术下的娱乐圈女星全都.avi了

    这是娱乐圈行动派——去酱 的第32篇《我去》 今天,我看了好几个女星的小黄片(封面) 这两天,有手艺人把杨幂的五官换到了《射雕英雄传》的黄蓉

  2. NO.2 日本风俗放飞记(一)东京泡泡浴

    副标题#e# 这篇日本放飞的攻略质量还是很不错的,很值得一读,作者还在陆续写,之后的行程会包括东京和大阪的很多不同业态,很有意思,推荐给

  3. NO.3 2019每日胎神方位(每日胎神占什么位置)

    胎神占方 古老的传说里,一直有所谓的胎神存在,农历(黄历)上可见胎神的项目,民间习俗相信胎儿生命受胎神支配,于是诸多禁忌衍生,多半在限

  4. NO.4 2019年阿里巴巴最新股权结构图解曝光,来看看马云的股权有多少?

    阿里的股权结构与合伙人制度,一直都是各行各业的典范。 2019年7月30日,阿里巴巴重新更改股权结构。 报告显示: 阿里高管和董事合计持股降至

  5. NO.5 让子弹飞结局什么意思(让子弹飞弟兄七人暗喻)

    比如开场时一群马拉着一辆火车在飞驰,汤师爷一伙人在车上吃火锅,他到底想表达什么? 文|蟑教授的茶炉 张麻子和黄四郎早就认识 为什么用马拉

  6. NO.6 教你写出牛逼团队介绍文案(附:团队介绍创意简短50字范文)

    团队介绍(一) 我们的制作团队不光在技术上处于行业前端,我们更注重将客户的产品表达的清楚与准确,我们大多是理科出身,在机械、游戏、电子

  7. NO.7 剑三怎么抓马地点(剑三重制版马驹刷新点)

    龙子和麟驹天天的刷新纪律是 早上7点到11点是一轮 正午11点到15点是一轮 下昼15点到19点是一轮 晚上19点到23点是一轮 凌晨23点到03点是一轮 凌晨03点

  8. NO.8 单一窗口申报系统(单一窗口怎么打报关单)

    而使用单一窗口后,企业只需要在一个窗口、一次录入,就能办完所有申报流程,从申报到放行结关最快只需2小时。 国际贸易单一窗口标准版共包括

Copyright2018.依依自媒体资讯站,让大家及时掌握各行各业第一手资讯新闻!