眾所周知，APT團(tuán)體和網(wǎng)絡(luò)犯罪分子以及紅隊(duì)經(jīng)常使用相同的攻擊性安全工具。根據(jù)Recorded Future最新發(fā)布的《2020對(duì)手基礎(chǔ)設(shè)施研究報(bào)告》，防御者應(yīng)當(dāng)高度重視對(duì)攻擊性安全工具的檢測(cè)，因?yàn)闊o(wú)論是紅隊(duì)還是APT小組的精英操作員、人工勒索軟件團(tuán)伙或普通網(wǎng)絡(luò)罪犯都越來(lái)越多地使用攻擊性安全工具來(lái)削減成本。

[[375880]]

報(bào)告顯示，Cobalt Strike和Metasploit是2020年最常用于托管惡意軟件命令與控制(C2)服務(wù)器的進(jìn)攻性安全工具。TOP10榜單如下：

Cobalt Strike和Metasploit為何如此流行?

去年，Insikt Group的研究人員在記錄了80個(gè)惡意軟件家族的超過(guò)1萬(wàn)多臺(tái)C2服務(wù)器信息。其中1,441臺(tái)C2服務(wù)器使用了Cobalt Strike，1122臺(tái)使用了Metasploit，加起來(lái)，二者占C2服務(wù)器總數(shù)的25%。檢測(cè)到未更改的Cobalt Strike部署占已確定的C2服務(wù)器的13.5%。

攻擊性安全工具(也稱(chēng)為滲透測(cè)試工具和紅隊(duì)工具)近年來(lái)已成為攻擊者工具包的一部分。其中一些工具模仿了攻擊者的活動(dòng)，攻擊小組也都開(kāi)始嘗試整合滲透測(cè)試技術(shù)。

在C2基礎(chǔ)結(jié)構(gòu)中發(fā)現(xiàn)的幾乎所有攻擊性安全工具都與APT或高級(jí)金融黑客相關(guān)。Cobalt Strike是越南APT組織海蓮花(Ocean Lotus)和網(wǎng)絡(luò)犯罪團(tuán)伙FIN7的最?lèi)?ài)。Metasploit則在APT集團(tuán)Evilnum和Turla(與俄羅斯有聯(lián)系的隱形APT集團(tuán))中很受歡迎。

Recorded Future的高級(jí)情報(bào)分析師Greg Lesnewich指出：“有趣的是，Metasploit在成熟的間諜團(tuán)體Turla和以公司間諜活動(dòng)為目標(biāo)的雇傭軍團(tuán)體Evilnum中都廣受歡迎。”

報(bào)告指出，研究人員檢測(cè)到的攻擊性安全工具中，有40%以上是開(kāi)源的。這些工具的可訪問(wèn)性和維護(hù)性吸引了各種技能和水平的攻擊者。其中Metasploit是Rapid7開(kāi)發(fā)的維護(hù)良好的開(kāi)源進(jìn)攻工具。而Cobalt Strike雖然不是開(kāi)放源代碼項(xiàng)目，但在源代碼泄漏后，互聯(lián)網(wǎng)上出現(xiàn)了多個(gè)Cobalt Strike版本。紅隊(duì)通常會(huì)購(gòu)買(mǎi)該工具，但實(shí)際上任何人都可以使用它，網(wǎng)絡(luò)上還有大量入門(mén)指南。

Lesnewich解釋說(shuō)：“無(wú)論在初始訪問(wèn)還是利用后階段，Metasploit和Cobalt Strike都可以做很多工作，最主要的是一點(diǎn)是，這兩個(gè)工具在整個(gè)攻擊周期中可以大大減少甚至避免開(kāi)發(fā)工作，而且還不容易從大量使用者中被識(shí)別出來(lái)(難以歸因)。”

如何讓尖矛變利盾?

攻擊性安全工具對(duì)網(wǎng)絡(luò)安全戰(zhàn)場(chǎng)上的所有人都有利。低技能的攻擊者可以很快上手操作，而高技能的攻擊者也可以與公司的進(jìn)攻性安全實(shí)踐相融合，從這些工具優(yōu)良的功能中受益。

但是在有些場(chǎng)景中，攻擊小組未必需要這些工具。例如，任務(wù)很單一不需要?jiǎng)佑锰喙δ?，或者針?duì)的是個(gè)人而不是企業(yè)，不需要完全檢查目標(biāo)設(shè)備。

Cobalt Strike和Metasploit對(duì)于“紫色團(tuán)隊(duì)”也非常友好。盡管兩者都在逃避檢測(cè)方面做了很多工作，但他們也向防御者充分展示了如何檢測(cè)和跟蹤其部署。Recorded Future報(bào)告中所列舉的這10種最常用的攻擊性安全工具，可用于通知C2，或基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)。

他解釋說(shuō)：“盡管上述所有小組都可以開(kāi)發(fā)自己的利用后框架或C2框架，但對(duì)于防御者而言，攻擊性安全工具的效能取決于編寫(xiě)了多少文檔來(lái)檢測(cè)這些問(wèn)題。”

有了檢測(cè)文檔，藍(lán)隊(duì)可以練習(xí)分析清單上這些有著類(lèi)似開(kāi)源代碼但并不常見(jiàn)的載荷，例如跟蹤一些不是很流行的惡意軟件家族。

Lesnewich建議安全團(tuán)隊(duì)分析以前的威脅報(bào)告，創(chuàng)建優(yōu)先級(jí)列表。推薦使用的工具包括用于終結(jié)點(diǎn)威脅的開(kāi)源檢測(cè)工具Yara和等效于網(wǎng)絡(luò)檢測(cè)的Snort。

其次，建議安全團(tuán)隊(duì)仔細(xì)研究公司的SIEM和SOAR平臺(tái)以發(fā)現(xiàn)異常行為，例如，兩個(gè)原本應(yīng)該與服務(wù)器通信的端點(diǎn)相互之間通信。

總之，跟蹤攻擊性安全工具的惡意使用只是防御性安全流程的一個(gè)步驟，也是幫助防御者熟悉如何檢測(cè)并觀察工具開(kāi)發(fā)來(lái)龍去脈的一種有效方法。在此基礎(chǔ)上，安全團(tuán)隊(duì)可以開(kāi)始跟蹤其他威脅，包括Emotet和Trickbot，以及任何其他在環(huán)境中產(chǎn)生噪音的威脅。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文