如果您要撰写安全和隐私捍卫者​​开发的工具和软件列表,最终被糟糕的家伙虐待,那么兴高全的罢工将临近列表的顶部。也许只有Metasploit可以为第一个地方排名提供。

Metasploit-可能是渗透测试的最着名的项目 - 是一个开发框架,旨在使某人轻松启动针对特定弱势目标的利用。Metasploit被滥用是臭名昭着的,但仍然为它开发了模块,以便它继续发展。钴罢工是在同一个篮子里。钴罢工提供了一个开发后的代理和隐蔽渠道,旨在在目标网络中展示一个安静的长期嵌入式演员。

什么是Cobalt Strike?

Cobalt Streat是帮助系统提供的威胁仿真工具的集合,与Metasploit框架一起使用。最初为网络防御者创建了钴攻击,以及其他渗透测试工具,以培训他们了解网络犯罪分子的漏洞和可能的感染途径。这些工具旨在通过动机的演员模拟入侵,并证明它们非常擅长这一点。因此,虽然“白色帽子”黑客正在开发工具,以便更容易模仿“黑帽”活动,但很少考虑这些工具如何对某人转变。(术语“白帽子”和“黑帽子”也偏信不赞成,因为网络安全专业人员采用“红色团队”和“蓝色队”描述符来描述冒犯和防御性的安全团队。)

建立一个立足点

最近,我们看到了各种国家赞助的威胁演员和赎金软件贩运者的目标攻击。我们主要在赎金瓶领域看到的是越来越多的手动感染。例如,通过使用蛮力方法利用漏洞入侵网络。我们已经看到,在2020年及以后,这些方法有了显著的增长。作为这些更多的手动类型攻击的后续,而不是喷雾式网络钓鱼攻击,我们看到威胁行为者破坏了服务器,将Cobalt Strike Beacon等工具加载到系统中。钴打击信标提供加密通信与C&C服务器发送信息和接收命令。这些命令可能包括下载恶意软件的指令。之后,他们可以使用Cobalt Strike来绘制网络地图,识别任何漏洞,并部署植入物、后门和其他工具来完成横向移动,最终导致完全的网络感染。

在受损网络上构建抓地力

所以通常情况下,这是一种感染,可能是网络钓鱼,通过暴力强制端口的手动破坏,甚至是利用。一旦一个端点被破坏,参与者就会试图破坏网络上的服务器。有很多方法可以做到这一点,事实上去年我们就看到了Zerologon.对域管理员服务器使用的漏洞,其基本上在几秒钟内为犯罪提供了完整的管理权限!一旦服务器被感染,就会安装钴击打,就在这一点上,即更先进的网络监控,漏洞识别和一堆其他高级功能,可供犯罪。现在武装更多的能力,攻击者可以更快地完全妥协网络,最终启动勒索软件,有时在收集和举行网络上保存的所有多汁数据后。

钴矿罢工价格昂贵

新的Cobalt Strike许可证一年的费用为每位用户3500美元。每个用户每年的许可证续期费用为2,585美元。但网络罪犯为什么要担心这样的成本呢?无论如何,使用这些工具的犯罪分子并不只是从供应商那里购买。在许多情况下,Cobalt Strike使用的是泄露版本和旧版本,在一些情况下,使用的是成熟的威胁行为者,例如幕后组织涓涓细刻,正在建立自己的钴罢工版本,修改了他们的特殊需求和目的。

这种进退两难的局面

当你想到好人开发的工具原本是用来对付坏人的,现在却被坏人利用来感染好人的顾客时,整个情况就产生了一个奇怪的道德灰色地带。在安全专业人士中有相当多的讨论,是否应该继续自由和不受监管地开发和发布这些渗透测试工具。特别是当它们中的一些几乎与真正的黑帽工具难以区分。还有很多人指责谁有责任确保这些工具不被用于犯罪。但我们该怎么做,还是已经太迟了?

需要笔测试

虽然我们可以看到为什么主要公司部署红色团队进行渗透测试,我们也想知道是否有权开发威胁演员的恶意软件。人们可以争辩说,使用最新的最新的实际形式的恶意软件应该足以测试您的防御是否达到标准。

就目前的情况来看,我们已经结束了这样一种局面:有付费的、敬业的研究人员花一整天的时间研究用于渗透测试和入侵的新工具。这很可能最终被罪犯自己利用。拥有资源、时间和经验的全职恶意软件工具开发人员可能要少得多,如果有的话。因此,从长远来看,由于缺乏控制,由白帽和灰帽制造的武器可能弊大于利。

它造成的问题

笔测试仅限于能够负担得起的公司并觉得需要做到这一点。通过使用它,它们不仅增加了他们自己的保护,这是他们的特权,而是作为副作用,他们正在能够开发更先进的渗透软件。

将其与一个行业结合在一起,其中一些渗透测试仪更喜欢组织无法捍卫这些工具的情况,因为如果他们无法有效地辩护,它会对渗透测试公司创造更多的业务。如果您每次通过飞行的颜色通过测试,那么您将开始怀疑所述测试的有效性。

这是我们目前拥有的问题,渗透工具被犯罪分子劫持。雇用渗透测试者的组织是非自愿推动者,他们受到这种威胁的保护,同时也是发展和资源提供者的主要驱动因素。在频谱的另一边,有些人没有意识到威胁,一旦这些工具落入罪犯手中,就会成为最大的受害者。

只要顾问建立了新的,更强大的工具,并且不关注过时和丢弃的工具最终的位置,邻居最终可以通过您支付的工具攻击。您可能是安全的攻击,但其他几十个人,许多人在不能承担顾问的行业,无法在您的顾问之前越来越容易存在风险。