調(diào)查研究表明，那些非常好用的紅隊(duì)工具正在被濫用于日益增長的攻擊中，因?yàn)樵絹碓蕉嗟暮诳烷_始尋求非技術(shù)性和暴力破解方法。

近日，安全研究人員觀察到一個(gè)有意思的現(xiàn)象，包括Cobalt Strike、Metasploit等深受紅隊(duì)人員喜愛的安全工具，正在出現(xiàn)新的變種并且成為攻擊者手中的利器。威脅狩獵公司Elastic發(fā)布報(bào)告稱，上述兩種傳統(tǒng)滲透測試工具已經(jīng)成為黑客的必備武器，2024年接近一半的惡意活動(dòng)中都發(fā)現(xiàn)了它們的身影。

Elastic安全實(shí)驗(yàn)室稱，和2023年相比，2024年惡意軟件家族與攻擊性安全工具（OSTs）聯(lián)系更加緊密，在所觀察到的惡意軟件中，Cobalt Strike、Metasploit、Sliver、DonutLoader、Meterpreter占比高達(dá)66%。其中的原因是，攻擊者入侵策略的轉(zhuǎn)變，從最開始的“繞過安全防御”轉(zhuǎn)為“直接獲取訪問權(quán)限”。

防守方的利器也是攻擊者手中的利器

Cobalt Strike（27%）和Metasploit（18%）是Elastic研究中觀察到的兩個(gè)最常見的OSTs。其他此類工具包括Silver（9%）、DonutLoader（7%）和Meterpreter（5%）。

研究人員指出，使用專門設(shè)計(jì)用來識(shí)別企業(yè)環(huán)境中漏洞的工具，可能會(huì)為攻擊者帶來顯著的優(yōu)勢。此外這類安全工具的開源將會(huì)直接增加企業(yè)安全所面臨的風(fēng)險(xiǎn)，因?yàn)殚_源會(huì)讓攻擊者獲取工具的途徑更簡單、直接。

Elastic安全實(shí)驗(yàn)室的主任Devon Kerr表示，Cobalt Strike和Metasploit在惡意活動(dòng)中已經(jīng)存在相當(dāng)長一段時(shí)間，而Metasploit、Silver等是開源安全工具，在2024年的惡意活動(dòng)中表現(xiàn)非常突出，并且出現(xiàn)了新的變種。

Kerr進(jìn)一步解釋說，這些工具對(duì)技術(shù)能力有限的黑客特別有吸引力，借助這些工具的強(qiáng)大能力可大大提高他們?nèi)肭制髽I(yè)的成功率。

報(bào)告數(shù)據(jù)顯示，由于操作系統(tǒng)的廣泛可用性，大多數(shù)惡意軟件被部署在Windows（66%）系統(tǒng)上，其次是Linux主機(jī)（32%）。偽裝成合法軟件的惡意軟件（特洛伊木馬）是觀察到最多的（82%）惡意軟件類別。

安全專家指出，黑客越來越喜歡使用紅隊(duì)安全工具，其原因在于，這些武器庫集成了多種攻擊工具和技術(shù)，能夠提供自動(dòng)化、高效的攻擊手段，并且隨著攻擊手法的不斷進(jìn)化和多樣化，紅隊(duì)武器庫的重要性和吸引力也隨之增加。

隨著紅隊(duì)人員對(duì)開源工具、泄漏工具、定制工具等進(jìn)行整合，構(gòu)建個(gè)人武器庫，并通過武器庫快速、高效地對(duì)各類0day、Nday漏洞進(jìn)行探測利用。未來，將會(huì)有越來越多的黑客開始抄紅隊(duì)人員的作業(yè)，特別是群體數(shù)量卻十分龐大但個(gè)人技術(shù)能力有限的黑客人員，它們將利用紅隊(duì)工具來降低每次網(wǎng)絡(luò)攻擊的門檻和成本，從而實(shí)現(xiàn)利益最大化。

參考來源：https://www.csoonline.com/article/3609550/weaponized-pen-testers-are-becoming-a-new-hacker-staple.html