- 2020年十大最流行的攻击性安全工具
- 来源:安全牛
点击蓝字关注我们
众所周知,APT团体和网络犯罪分子以及红队经常使用相同的攻击性安全工具。根据Recorded Future最新发布的《2020对手基础设施研究报告》,防御者应当高度重视对攻击性安全工具的检测,因为无论是红队还是APT小组的精英操作员、人工勒索软件团伙或普通网络罪犯都越来越多地使用攻击性安全工具来削减成本。
报告显示,Cobalt Strike和Metasploit是2020年最常用于托管恶意软件命令与控制(C2)服务器的进攻性安全工具。TOP10榜单如下:
Cobalt Strike和Metasploit为何如此流行?
去年,Insikt Group的研究人员在记录了80个恶意软件家族的超过1万多台C2服务器信息。其中1,441台C2服务器使用了Cobalt Strike,1122台使用了Metasploit,加起来,二者占C2服务器总数的25%。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5%。
攻击性安全工具(也称为渗透测试工具和红队工具)近年来已成为攻击者工具包的一部分。其中一些工具模仿了攻击者的活动,攻击小组也都开始尝试整合渗透测试技术。
在C2基础结构中发现的几乎所有攻击性安全工具都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花(Ocean Lotus)和网络犯罪团伙FIN7的最爱。Metasploit则在APT集团Evilnum和Turla(与俄罗斯有联系的隐形APT集团)中很受欢迎。
Recorded Future的高级情报分析师Greg Lesnewich指出:“有趣的是,Metasploit在成熟的间谍团体Turla和以公司间谍活动为目标的雇佣军团体Evilnum中都广受欢迎。”
报告指出,研究人员检测到的攻击性安全工具中,有40%以上是开源的。这些工具的可访问性和维护性吸引了各种技能和水平的攻击者。其中Metasploit是Rapid7开发的维护良好的开源进攻工具。而Cobalt Strike虽然不是开放源代码项目,但在源代码泄漏后,互联网上出现了多个Cobalt Strike版本。红队通常会购买该工具,但实际上任何人都可以使用它,网络上还有大量入门指南。
Lesnewich解释说:“无论在初始访问还是利用后阶段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一点是,这两个工具在整个攻击周期中可以大大减少甚至避免开发工作,而且还不容易从大量使用者中被识别出来(难以归因)。”
如何让尖矛变利盾?
攻击性安全工具对网络安全战场上的所有人都有利。低技能的攻击者可以很快上手操作,而高技能的攻击者也可以与公司的进攻性安全实践相融合,从这些工具优良的功能中受益。
但是在有些场景中,攻击小组未必需要这些工具。例如,任务很单一不需要动用太多功能,或者针对的是个人而不是企业,不需要完全检查目标设备。
Cobalt Strike和Metasploit对于“紫色团队”也非常友好。尽管两者都在逃避检测方面做了很多工作,但他们也向防御者充分展示了如何检测和跟踪其部署。Recorded Future报告中所列举的这10种最常用的攻击性安全工具,可用于通知C2,或基于主机和基于网络的检测。
他解释说:“尽管上述所有小组都可以开发自己的利用后框架或C2框架,但对于防御者而言,攻击性安全工具的效能取决于编写了多少文档来检测这些问题。”
有了检测文档,蓝队可以练习分析清单上这些有着类似开源代码但并不常见的载荷,例如跟踪一些不是很流行的恶意软件家族。
Lesnewich建议安全团队分析以前的威胁报告,创建优先级列表。推荐使用的工具包括用于终结点威胁的开源检测工具Yara和等效于网络检测的Snort。
其次,建议安全团队仔细研究公司的SIEM和SOAR平台以发现异常行为,例如,两个原本应该与服务器通信的端点相互之间通信。
总之,跟踪攻击性安全工具的恶意使用只是防御性安全流程的一个步骤,也是帮助防御者熟悉如何检测并观察工具开发来龙去脉的一种有效方法。在此基础上,安全团队可以开始跟踪其他威胁,包括Emotet和Trickbot,以及任何其他在环境中产生噪音的威胁。
相关阅读
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
科技
-
- 线下展会,市民畅享科技大餐
- 5月28日,是2021中国国际大数据产业博览会线下展最后一天,也是免费向市民开放的公众日。趁此机会,记者继续带您探秘国际综合馆(W1馆)、数字应用馆(W2馆)、前沿技术馆(E1馆)、智慧产业馆(E2馆)4...
- 贵阳晚报
-
- 为何新药研发、基因测序、卫星遥感的发展提速都需要它?
- 人类第一次完整全基因组的测序花了13年,在新技术的加持下,这个时间已经降低到1天以内;没有这项新技术加持,电影《阿凡达》的渲染可能需要上万年;这项新技术还让新药的研发周期大幅缩短,让卫星遥感定位精度...
- 华为
-
- 大型金属3D打印厂商钢研极光亮相TCT,展示强大的生产服务能力
- 2021亚洲3D打印、增材制造展览会 (TCT Asia)于2021年5月26日-28日在国家会展中心(上海)7.1馆隆重举办。作为官方战略合作媒体,南极熊将会全程现场报道(地址https://www.nanjixiong.com/foru
- 南极熊3D打印
-
- 美国国家情报委员会《全球趋势2040——竞争更激烈的世界》报告摘译
- 2021年3月,美国国家情报委员会(NIC)发布了每四年一度的全球趋势预测报告《全球趋势2040——竞争更激烈的世界》。NIC是美国最高层级的战略情报机构,该委员会的成员均为来自政府、学术界和私营部门的高级专家...
- 全球技术地图
-
- 数字让监管更加智慧 上交所成功举办首届全行业技术大会
- 5月28日,上交所成功举办主题为“数字赋能,守正创新”的首届全行业技术大会。中国证监会副主席赵争平出席大会并致辞指出,证监会高度重视资本市场科技化转型与发展,确定了“数字让监管更加智慧”的愿景。...
- 上海证券报
-
- 湾区智行||中科创达赵鸿飞:汽车“新物种”需要共通的操作系统|中国汽车报
- “我是谁?我来自哪里?我要到哪里去?”这是哲学史上永恒的三大命题,同样也是我们甚至是企业需要不断思考的问题。此次采访对象——中科创达软件股份有限公司就是一家勤于思考、擅于思考的企业。这家企业在不断...
- 中国汽车报
-
- 广电总局表彰虚拟现实视频、超高清视频等5类96个优秀项目!
- 广电总局共评选出互动视频、沉浸式视频、虚拟现实视频、云游戏、超高清视频等5类96个优秀项目,分获一、二、三等奖和优秀奖,包括《中央广播电视总台5G+VR融合制播系统——春节联欢晚会 (2017- 2021)节目VR制作...
- 广电头条
-
- 占据市场最新赛道,“中国制造”机器人迎来爆发期
- 【环球时报记者 邢晓婧 杨沙沙】配餐机器人、迎宾机器人、扫地机器人……不知不觉间,中国老百姓对出现在餐馆、医院、火车站、养老院等场景的机器人逐渐习以为常,甚至家中也出现扫地、娱乐等家用机器人。有统计...
- 环球网
-
- 最受关注展项出炉,2021年北京科技周闭幕不落幕!
- 5月28日下午,2021年北京科技周闭幕式在中关村国家自主创新示范区展示中心举行。北京市科委、中关村管委会相关负责人介绍了本届北京科技周举办情况以及最受关注的展项。市科委、中关村管委会二级巡视员王建新出...
- 科普北京
-
- 魔高一尺,道高一丈:上交所VPN攻防札记
- 本文选自《交易技术前沿》总第四十二期文章(2020年12月)谢毅 / 上海证券交易所 yxie@sse.com.cn相晓辉 / 上海证券交易所 xhxiang@sse.com.cn虚拟专用网络(以下简称“VPN”)系统、互联网业务系统、外网
- Android编程精选
-
- 绿色召集令——聚力创赢,共赴绿色能源新征程!
- 申耀的科技观察读懂科技,赢取未来!申耀的科技观察,由科技与汽车跨界自媒体人申斯基创办,18年企业级科技媒体工作经验,专注企业数字化、产业智能化、智慧城市、汽车科技内容的观察和思考。
- 申耀的科技观察
-
- 汉朔科技和微软(中国)联合推动 IoT+AI 赋能全球零售
- (本文阅读时间:4分钟)2021年5月20日,全球领先的零售数字化解决方案供应商汉朔与微软(中国)在北京举行战略合作备忘录签约仪式,以进一步推动其在零售行业的全球布局和数字化战略。根据战略合作备忘录,汉朔...
- 微软科技
-
- 关于安全访问服务边缘(SASE),你需要知道的事情
- 在企业纷纷拥抱数字业务的过程中,由于边缘计算、云服务、混合网络的逐渐兴起,使得本就漏洞百出的传统网络安全架构更加岌岌可危,而且远远无法满足企业数字业务的需要。为了应对这种情况,一个全新的模型——安...
- FreeBuf
-
- [报告]2021年中国新能源汽车行业洞察(附44页PDF文件下载)
- 新能源车大势将至,造车新势力差异化突围。以下为报告节选:......文│Mob研究院本报告共计:44页。如欲获取完整版PDF文件,请扫描下方二维码加入“车友圈”获取。#重磅推荐#需要批量下载和及时更新最新汽车行业...
- 汽车之地