2020年十大最流行的攻击性安全工具

众所周知，APT整体和收集犯罪分子以及红队经常使用沟通的冲击性平安对象。凭据Recorded Future最新发布的《2020敌手根蒂举措研究申报》，防御者该当高度正视对冲击性平安对象的检测，因为无论是红队照样APT小组的精英把持员、人工勒索软件团伙或通俗收集罪犯都越来越多地使用冲击性平安对象来削减成本。

申报显露，Cobalt Strike和Metasploit是2020年最常用于托管恶意软件号令与掌握（C2）办事器的攻击性平安对象。TOP10榜单如下：

客岁，Insikt Group的研究人员在记录了80个恶意软件家眷的跨越1万多台C2办事器信息。个中1,441台C2办事器使用了Cobalt Strike，1122台使用了Metasploit，加起来，二者占C2办事器总数的25％。检测到未更改的Cobalt Strike布置占已确定的C2办事器的13.5％。

冲击性平安对象（也称为渗透测试对象和红队对象）近年来已成为冲击者对象包的一部门。个中一些对象模拟了冲击者的运动，冲击小组也都起头测验整合渗透测试手艺。

在C2根蒂构造中发现的几乎所有冲击性平安对象都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花（Ocean Lotus）和收集犯罪团伙FIN7的最爱。Metasploit则在APT集体Evilnum和Turla（与俄罗斯有关联的隐形APT集体）中很受迎接。

Recorded Future的高级谍报剖析师Greg Lesnewich指出：“有趣的是，Metasploit在成熟的奸细整体Turla和以公司奸细运动为方针的雇佣军整体Evilnum中都广受迎接。”

申报指出，研究人员检测到的冲击性平安对象中，有40％以上是开源的。这些对象的可接见性和维护性吸引了各类花样和水平的冲击者。个中Metasploit是Rapid7斥地的维护精巧的开源攻击对象。而Cobalt Strike固然不是开放源代码项目，但在源代码泄露后，互联网上显现了多个Cobalt Strike版本。红队平日会购置该对象，但实际上任何人都能够使用它，收集上还有大量入门指南。

Lesnewich注释说：“无论在初始接见照样行使后阶段，Metasploit和Cobalt Strike都能够做好多工作，最首要的是一点是，这两个对象在整个冲击周期中能够大大削减甚至避免斥地工作，并且还不轻易从大量使用者中被识别出来（难以归因）。”

冲击性平安对象对收集平安疆场上的所有人都有利。低花样的冲击者能够很快上手把持，而高花样的冲击者也能够与公司的攻击性平安实践相融合，从这些对象优良的功能中受益。

然则在有些场景中，冲击小组未必需要这些对象。例如，义务很单一不需要动用太多功能，或许针对的是小我而不是企业，不需要完全搜检方针设备。

Cobalt Strike和Metasploit对于“紫色团队”也非常友好。尽管两者都在逃避检测方面做了好多工作，但他们也向防御者充裕展示了若何检测和跟踪其布置。Recorded Future申报中所列举的这10种最常用的冲击性平安对象，可用于通知C2，或基于主机和基于收集的检测。

他注释说：“尽管上述所有小组都能够斥地本身的行使后框架或C2框架，但对于防御者而言，冲击性平安对象的效能取决于编写了几多文档来检测这些问题。”

有了检测文档，蓝队能够演习剖析清单上这些有着雷同开源代码但并不常见的载荷，例如跟踪一些不是很风行的恶意软件家眷。

Lesnewich建议平安团队剖析以前的威胁申报，建立优先级列表。介绍使用的对象包罗用于终结点威胁的开源检测对象Yara和等效于收集检测的Snort。

其次，建议平安团队细心研究公司的SIEM和SOAR..以发现非常行为，例如，两个原本应该与办事器通信的端点互相之间通信。

总之，跟踪冲击性平安对象的恶意使用只是防御性平安流程的一个步伐，也是匡助防御者熟悉若何检测并视察对象斥地前因后果的一种有效方式。在此根蒂上，平安团队能够起头跟踪其他威胁，包罗Emotet和Trickbot，以及任何其他在情况中发生噪音的威胁。