Las herramientas Cobalt Strike y Metasploit fueron atacantes …



La investigación revela que los grupos de APT y los ciberdelincuentes emplean estas herramientas de seguridad ofensivas con tanta frecuencia como los equipos rojos.

Cobalt Strike y Metasploit fueron las herramientas de seguridad ofensivas más utilizadas para alojar servidores de comando y control (C2) de malware en 2020, informan los investigadores.

Los investigadores de Insikt Group de Recorded Future recopilaron más de 10,000 servidores C2 únicos en al menos 80 familias de malware el año pasado. Cobalt Strike representó 1.441 de los servidores C2 y Metasploit representó 1.122 combinados, constituían el 25% del overall de servidores C2. Las detecciones de implementaciones de Cobalt Strike sin alteraciones representaron el 13,5% de los servidores C2 identificados.

Las herramientas de seguridad ofensivas, también conocidas como herramientas de prueba de penetración y herramientas de equipos rojos, se han convertido en parte de los kits de herramientas de los atacantes en los últimos años. Algunas de estas herramientas imitan la actividad de un atacante y los grupos de ataque notaron la oportunidad de integrarse con las pruebas de penetración típicas.

Casi todas las herramientas de seguridad ofensivas que los investigadores detectaron en la infraestructura C2 se han conectado a APT o actores financieros avanzados. Cobalt Strike es uno de los favoritos entre APT41 y Mustang Panda, ambos asociados con China, así como Ocean Lotus, que se cree que es un grupo APT vietnamita, y la pandilla de delitos informáticos FIN7. Metasploit es well known entre APT Group Evilnum y Turla, un sigiloso grupo APT asociado con Rusia.

Greg Lesnewich, analista senior de inteligencia de Recorded Foreseeable future, dice que es interesante ver que Metasploit se vuelve preferred tanto con Turla, un sofisticado grupo de espionaje, como con Evilnum, un grupo mercenario que objetivos pequeñas y medianas empresas con espionaje corporativo.

«Estos grupos de alto nivel usan (estas herramientas), y cada vez que lo hacen aparece en los titulares», dice. «Obviamente están obteniendo utilidad de ellos, pero aún se están desarrollando y están disponibles regularmente».

Más del 40% de las herramientas de seguridad ofensivas que los investigadores detectaron eran de código abierto, señalan.

La accesibilidad y el mantenimiento de estas herramientas las hacen atractivas para los atacantes de todos los niveles, continúa. Metasploit es una herramienta ofensiva bien mantenida desarrollada por Speedy7. Cobalt Strike, aunque técnicamente no es de código abierto, tiene varias versiones flotando en World wide web después de que se filtró su código fuente. Los equipos rojos generalmente compran la herramienta, pero está disponible para que cualquiera la use, y hay guías en la Web para instruir a quienes no saben cómo usarla de manera efectiva.

Tanto Metasploit como Cobalt Strike «pueden hacer mucho por la posexplotación pueden hacer mucho por el acceso inicial», explica Lesnewich. «La realización de intrusiones de larga duración, principalmente a través de cualquiera de estas herramientas, evita que (los atacantes) tengan que desarrollar sus propias cosas y hace que parezcan otros actores a los que las herramientas atraen».

Esto beneficia a todos: los atacantes de baja habilidad pueden ejecutar operaciones, mientras que los atacantes de alta habilidad se mezclan con las prácticas de seguridad ofensivas de una empresa y se benefician de una buena funcionalidad. Como escribió el Grupo Insikt en una publicación de blog site, «la facilidad de acceso y uso de estas herramientas, combinada con la oscuridad de la atribución potencial, las hace atractivas tanto para intrusiones no autorizadas como para equipos rojos».

Hay razones por las que los grupos de ataque pueden no necesitar estas herramientas. Es posible que tengan un objetivo de enfoque limitado que no garantiza la multifuncionalidad. Por ejemplo, si se dirigen a una persona y no a una empresa, es posible que no necesiten inspeccionar completamente un dispositivo objetivo o pasar de una víctima a otra.

Lesnewich llama a Cobalt Strike y Metasploit «muy amigables con el equipo púrpura». Si bien ambos hacen mucho para evadir la detección, no se avergüenzan de mostrar a los defensores cómo detectar y rastrear sus despliegues. Informe de Recorded Long term, que enumera las 10 herramientas de seguridad ofensivas más utilizadas, se puede utilizar para informar sobre detecciones de C2, basadas en host y basadas en red, dice.

«Aunque todos los grupos mencionados podrían desarrollar su propio marco de put up-explotación o C2, el beneficio oculto para los defensores es cuánta documentación se escribe para detectar estas cosas», explica.

Con esta documentación, los equipos azules pueden practicar con las cosas de esta lista que tienen código fuente abierto pero que no son muy comunes. Lesnewich dice que se está avanzando hacia el seguimiento de familias de malware personalizado que no son tan populares pero que siguen activas.

«Encontrar estas cosas en World wide web no tiene que ser necesariamente la prioridad del defensor, pero el volumen que observamos puede ayudar a crear la lista de prioridades para su trabajo internamente», dice.

Lesnewich aconseja a los equipos de seguridad que creen una lista de priorización para observar los informes de amenazas anteriores. Las herramientas que recomienda incluyen Yara, una herramienta de detección de código abierto para amenazas de terminales, y Bufido, el equivalente de detección de purple.

En segundo lugar, Lesnewich sugiere echar un vistazo más de cerca a las plataformas SIEM y SOAR de la empresa para detectar comportamientos inusuales, por ejemplo, si dos puntos finales deberían comunicarse con un servidor pero en cambio se comunican entre sí.

El seguimiento del uso malicioso de herramientas de seguridad ofensivas es solo un paso en el proceso de seguridad defensiva, agrega. Esta es una forma poderosa para que los defensores se sientan cómodos con la forma en que pueden detectar y observar los entresijos de una buena herramienta. A partir de ahí, pueden comenzar a rastrear otras amenazas, incluidas Emotet y Trickbot, y otras cosas que hacen ruido en el medio ambiente.

Kelly Sheridan es la editora de personalized de Dark Reading, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic