众所周知,APT团体和网络犯罪分子以及红队经常使用相同的攻击性安全工具。根据Recorded Future最新发布的《2020对手基础设施研究报告》,防御者应当高度重视对攻击性安全工具的检测,因为无论是红队还是APT小组的精英操作员、人工勒索软件团伙或普通网络罪犯都越来越多地使用攻击性安全工具来削减成本。
报告显示,Cobalt Strike和Metasploit是2020年最常用于托管恶意软件命令与控制(C2)服务器的进攻性安全工具。TOP10榜单如下:
Cobalt Strike和Metasploit为何如此流行?
去年,Insikt Group的研究人员在记录了80个恶意软件家族的超过1万多台C2服务器信息。其中1,441台C2服务器使用了Cobalt Strike,1122台使用了Metasploit,加起来,二者占C2服务器总数的25%。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5%。
攻击性安全工具(也称为渗透测试工具和红队工具)近年来已成为攻击者工具包的一部分。其中一些工具模仿了攻击者的活动,攻击小组也都开始尝试整合渗透测试技术。
在C2基础结构中发现的几乎所有攻击性安全工具都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花(Ocean Lotus)和网络犯罪团伙FIN7的最爱。Metasploit则在