Опубликован ТОП инструментов тестирования на проникновение, которыми злоупотребляют хакеры
Недавно ИБ-компания Recorded Future опубликовала отчёт об использовании вредоносной инфраструктуры в области C&C (command and control). Компания производила исследование в течение всего 2020 года, отслеживая более 10 000 серверов C&C по более чем 80 штаммам вредоносных программ.
Результаты
- Инструменты тестирования на проникновение, например, Cobalt Strike (используется с 13,5% всех серверов C&C 2020 года) или Metasploit (10,5% всех серверов C&C 2020 года), стали двумя наиболее широко используемыми технологиями размещения C&C серверов.
- PupyRAT является третьим по популярности C&C-сервером, благодаря своей кодовой базе с открытым исходным кодом на GitHub, который поддерживается с 2018 года.
- Хакерские сообщества успешно произвели модернизацию ПО и успешно заразили эти серверы. На сегодняшний день целый ряд авторитетных американских хостинг-провайдеров, таких как Amazon, Digital Ocean и Choopa, имели в своей инфраструктуре данные модифицированные С&С сервера.
Сценарий использования
Совсем недавно группа Muddywater APT использовала размещённый на GitHub вредоносный код PowerShell для декодирования встроенного сценария Cobalt Strike для целевых систем Windows. А чуть позднее исследователи из Пало-Альто обнаружили, что кампания SolarStorm была связана с модификацией Cobalt Strike, которая была создана с использованием Cobalt Strike 4.0 и была реализована в декабре 2019 года. А вот специалисты по информационной безопасности из Sophos обнаружили использование SystemBC RAT в сочетании с инструментами после эксплуатации, включая Cobalt Strike.
Заключение
Авторы вредоносных программ активно используют инструменты безопасности с открытым исходным кодом из-за их общего использования и легитимности в разных организациях. Хакеры могут перепрофилировать эти инструменты для развертывания различных типов полезных нагрузок, таких как вымогатели или кейлоггеры, в скомпрометированных сетях.
Предприятиям рекомендуется использовать углубленное обнаружение модифицированного кода в инструментах с открытым исходным кодом с помощью корреляционного поиска SIEMs, YARA для подозрительного содержимого файлов и SNORT для подозрительного или вредоносного сетевого трафика.