调查研究表明,那些非常好用的红队工具正在被滥用于日益增长的攻击中,因为越来越多的黑客开始寻求非技术性和暴力破解方法。
近日,安全研究人员观察到一个有意思的现象,包括Cobalt Strike、Metasploit等深受红队人员喜爱的安全工具,正在出现新的变种并且成为攻击者手中的利器。威胁狩猎公司Elastic发布报告称,上述两种传统渗透测试工具已经成为黑客的必备武器,2024年接近一半的恶意活动中都发现了它们的身影。
Elastic安全实验室称,和2023年相比,2024年恶意软件家族与攻击性安全工具(OSTs)联系更加紧密,在所观察到的恶意软件中,Cobalt Strike、Metasploit、Sliver、DonutLoader、Meterpreter占比高达66%。其中的原因是,攻击者入侵策略的转变,从最开始的“绕过安全防御”转为“直接获取访问权限”。
Cobalt Strike(27%)和Metasploit(18%)是Elastic研究中观察到的两个最常见的OSTs。其他此类工具包括Silver(9%)、DonutLoader(7%)和Meterpreter(5%)。
研究人员指出,使用专门设计用来识别企业环境中漏洞的工具,可能会为攻击者带来显著的优势。此外这类安全工具的开源将会直接增加企业安全所面临的风险,因为开源会让攻击者获取工具的途径更简单、直接。
Elastic安全实验室的主任Devon Kerr表示,Cobalt Strike和Metasploit在恶意活动中已经存在相当长一段时间,而Metasploit、Silver等是开源安全工具,在2024年的恶意活动中表现非常突出,并且出现了新的变种。
Kerr进一步解释说,这些工具对技术能力有限的黑客特别有吸引力,借助这些工具的强大能力可大大提高他们入侵企业的成功率。
报告数据显示,由于操作系统的广泛可用性,大多数恶意软件被部署在Windows(66%)系统上,其次是Linux主机(32%)。伪装成合法软件的恶意软件(特洛伊木马)是观察到最多的(82%)恶意软件类别。
安全专家指出,黑客越来越喜欢使用红队安全工具,其原因在于,这些武器库集成了多种攻击工具和技术,能够提供自动化、高效的攻击手段,并且随着攻击手法的不断进化和多样化,红队武器库的重要性和吸引力也随之增加。
随着红队人员对开源工具、泄漏工具、定制工具等进行整合,构建个人武器库,并通过武器库快速、高效地对各类0day、Nday漏洞进行探测利用。未来,将会有越来越多的黑客开始抄红队人员的作业,特别是群体数量却十分庞大但个人技术能力有限的黑客人员,它们将利用红队工具来降低每次网络攻击的门槛和成本,从而实现利益最大化。
https://www.csoonline.com/article/3609550/weaponized-pen-testers-are-becoming-a-new-hacker-staple.html