Falando na conferência Virus Bulletin, Analistas do Intezer Labs disse que os hackers estão usando cada vez mais ferramentas de código aberto para ataques, e listou ferramentas disponíveis gratuitamente que os hackers abusam principalmente.
Essas ferramentas podem incluir vários aplicativos, bibliotecas, explorações, e assim por diante. Mais frequente, estamos falando de explorações de prova de conceito para vulnerabilidades publicadas por especialistas em segurança da informação, ou utilitários pentester disponíveis gratuitamente.
A existência de tais ferramentas tem sido considerada um fenómeno muito controverso na comunidade de segurança da informação..
"Então, por um lado, essas ferramentas podem ajudar os especialistas em segurança da informação a preparar sistemas e redes, protegendo-os de possíveis ataques. Por outro lado, eles ajudam os invasores a reduzir o custo e o tempo de desenvolvimento de suas próprias ferramentas, e também permitir que eles disfarcem suas atividades entre testes e pentests legítimos”, - disse aos analistas do Intezer Labs.
Especialistas do Intezer Labs afirmam que normalmente os debates sobre este tema são baseados na experiência pessoal e nas crenças dos participantes da discussão, e não em dados reais.
A empresa decidiu ir por outro caminho e coletou dados sobre 129 Código aberto “ofensiva” ferramentas, e depois comparou esses dados com amostras de malware e relatórios de colegas para descobrir até que ponto essas soluções estão difundidas entre os hackers. Os resultados foram combinados neste mapa interativo.
Como acabou, todos os tipos de invasores usam ativamente soluções de código aberto e simplesmente disponíveis publicamente, desde grupos de hackers governamentais bem conhecidos até pequenos fraudadores. Muitas ferramentas e bibliotecas originalmente desenvolvidas por pesquisadores de segurança cibernética são agora usadas rotineiramente para crimes cibernéticos.
“Encontramos as bibliotecas mais populares para injeção de memória e ferramentas RAT. Por isso, a ferramenta mais popular para injeção de memória é o Injeção de Dll reflexiva biblioteca, seguido pelo Módulo de memória biblioteca. Império, Powersploit e Quasar acabaram sendo as mais populares entre as ferramentas RAT”, - disse Intezer Labs.
Também é relatado que Mimikatz é mais frequentemente usado para movimentos laterais, e UACME biblioteca geralmente é usada para ignorar o UAC. Dito isto, Grupos de hackers asiáticos tendem a preferir Win7Elevate, provavelmente devido ao grande número de Windows 7 instalações na região.
Basicamente, apenas ferramentas de roubo de credenciais não são populares entre os criminosos. Os pesquisadores acreditam que o motivo é a disponibilidade de soluções semelhantes com funcionalidades mais amplas no mercado negro e em fóruns de hackers..
Além disso, A Intezer Labs percebeu que os criminosos raramente usam ferramentas que implementam funções complexas que exigem profundo conhecimento para exploração (mesmo que seus benefícios sejam óbvios). Portanto, a empresa acredita que os especialistas em segurança cibernética que planejam publicar “ofensiva” as ferramentas de hacking devem ter isso em mente e complicar deliberadamente seu código para torná-lo mais difícil para os invasores.
Deixe-me lembrá-lo que isso hackers usam a ferramenta legítima Weave Scope em ataques a ambientes de nuvem.