調(diào)查研究表明，那些非常好用的紅隊工具正在被濫用于日益增長的攻擊中，因為越來越多的黑客開始尋求非技術(shù)性和暴力破解方法。

近日，安全研究人員觀察到一個有意思的現(xiàn)象，包括Cobalt Strike、Metasploit等深受紅隊人員喜愛的安全工具，正在出現(xiàn)新的變種并且成為攻擊者手中的利器。威脅狩獵公司Elastic發(fā)布報告稱，上述兩種傳統(tǒng)滲透測試工具已經(jīng)成為黑客的必備武器，2024年接近一半的惡意活動中都發(fā)現(xiàn)了它們的身影。

Elastic安全實驗室稱，和2023年相比，2024年惡意軟件家族與攻擊性安全工具（OSTs）聯(lián)系更加緊密，在所觀察到的惡意軟件中，Cobalt Strike、Metasploit、Sliver、DonutLoader、Meterpreter占比高達(dá)66%。其中的原因是，攻擊者入侵策略的轉(zhuǎn)變，從最開始的“繞過安全防御”轉(zhuǎn)為“直接獲取訪問權(quán)限”。

防守方的利器也是攻擊者手中的利器

Cobalt Strike（27%）和Metasploit（18%）是Elastic研究中觀察到的兩個最常見的OSTs。其他此類工具包括Silver（9%）、DonutLoader（7%）和Meterpreter（5%）。

研究人員指出，使用專門設(shè)計用來識別企業(yè)環(huán)境中漏洞的工具，可能會為攻擊者帶來顯著的優(yōu)勢。此外這類安全工具的開源將會直接增加企業(yè)安全所面臨的風(fēng)險，因為開源會讓攻擊者獲取工具的途徑更簡單、直接。

Elastic安全實驗室的主任Devon Kerr表示，Cobalt Strike和Metasploit在惡意活動中已經(jīng)存在相當(dāng)長一段時間，而Metasploit、Silver等是開源安全工具，在2024年的惡意活動中表現(xiàn)非常突出，并且出現(xiàn)了新的變種。

Kerr進(jìn)一步解釋說，這些工具對技術(shù)能力有限的黑客特別有吸引力，借助這些工具的強(qiáng)大能力可大大提高他們?nèi)肭制髽I(yè)的成功率。

報告數(shù)據(jù)顯示，由于操作系統(tǒng)的廣泛可用性，大多數(shù)惡意軟件被部署在Windows（66%）系統(tǒng)上，其次是Linux主機(jī)（32%）。偽裝成合法軟件的惡意軟件（特洛伊木馬）是觀察到最多的（82%）惡意軟件類別。

安全專家指出，黑客越來越喜歡使用紅隊安全工具，其原因在于，這些武器庫集成了多種攻擊工具和技術(shù)，能夠提供自動化、高效的攻擊手段，并且隨著攻擊手法的不斷進(jìn)化和多樣化，紅隊武器庫的重要性和吸引力也隨之增加。

隨著紅隊人員對開源工具、泄漏工具、定制工具等進(jìn)行整合，構(gòu)建個人武器庫，并通過武器庫快速、高效地對各類0day、Nday漏洞進(jìn)行探測利用。未來，將會有越來越多的黑客開始抄紅隊人員的作業(yè)，特別是群體數(shù)量卻十分龐大但個人技術(shù)能力有限的黑客人員，它們將利用紅隊工具來降低每次網(wǎng)絡(luò)攻擊的門檻和成本，從而實現(xiàn)利益最大化。

參考來源：https://www.csoonline.com/article/3609550/weaponized-pen-testers-are-becoming-a-new-hacker-staple.html