マルウェアギャングはオープンソースの攻撃的なハッキングツールを好む

  • Nov 01, 2023

セキュリティ研究者がリリースしたハッキン​​グ ツールは、悪者によって悪用されることもよくあります。

apt-cluster.png

サイバーセキュリティの分野では、OST という用語は、次のようなソフトウェア アプリ、ライブラリ、エクスプロイトを指します。 攻撃的なハッキング機能を備えており、無料ダウンロードまたはオープンソースとしてリリースされています。 ライセンス。

安全

ウイルス、トロイの木馬、悪意のあるソフトウェアについて知っておくべきことすべて

サイバー攻撃とマルウェアは、インターネット上の最大の脅威の 1 つです。 さまざまな種類のマルウェアと、攻撃の被害に遭わないようにする方法について学びましょう。

今すぐ読む

OST プロジェクトは通常、新しい脆弱性の概念実証を提供するためにリリースされます。 新しい (または古い) ハッキング手法をデモンストレーションするか、または侵入テスト ユーティリティとして共有されます。 コミュニティ。

現在、OST は、情報セキュリティ (infosec) コミュニティで (最もではないにしても) 最も物議を醸しているトピックの 1 つです。

一方では、このようなツールのリリースに賛成する人々がいて、これらのツールは防御側が学習し、将来の攻撃に備えてシステムやネットワークを準備するのに役立つと主張しています。

反対側には、OST プロジェクトは、攻撃者が独自のツールを開発したり、アクティビティをテストのクラウドや正当な侵入テストに隠したりするコストを削減するのに役立つと主張する人もいます。

OST 使用のためのインタラクティブなマップ

こうした議論は10年以上にわたって行われてきた。 ただし、それらは常に個人的な経験と信念に基づいており、実際の生データに基づいたものではありません。

これは何 ポール・リトバクサイバーセキュリティ企業Intezer Labsのセキュリティ研究者は、今月初めに次のように取り組もうとした。 Virus Bulletin セキュリティカンファレンスでの講演で.

リトヴァク氏は、129 のオープンソースの攻撃的なハッキング ツールに関するデータをまとめ、マルウェア サンプルとサイバー セキュリティ レポートを調査して、どの程度蔓延しているかを調査しました。 それは、低レベルのマルウェア ギャング、エリート金融犯罪グループ、さらには国家の支援を受けたハッキン​​グ グループ間での OST プロジェクトの採用でした。 APT。

その結果をこちらにまとめました インタラクティブマップ.

最も人気のあるOST

Litvak 氏は、OST がサイバー犯罪エコシステム全体にわたって広く採用されていることを発見しました。 DarkHotel のような有名な国家グループから TrickBot のようなサイバー犯罪活動まで、多くのグループが展開されています 当初はセキュリティ研究者によって開発されましたが、現在では定期的に使用されているツールまたはライブラリ。 サイバー犯罪。

「最も一般的に採用されているプロジェクトは、メモリ インジェクション ライブラリと RAT ツールであることがわかりました」と Litvak 氏は述べています。

「最も人気のあるメモリ注入ツールは 反射Dllインジェクション ライブラリ、続いて メモリモジュール 図書館。 RAT [リモート アクセス ツール]、Empire、 パワースプロイト そして クエーサー が主要なプロジェクトでした。」

横方向の動きのカテゴリーで優勢だったのは、 ミミカッツ — 誰も驚かないでしょう。

UAC バイパス ライブラリは、 UACME 図書館。 しかし、アジアのハッカーグループはそれを好んだようです。 Win7Elevate、おそらく Windows 7 の地域的なインストールベースが大きいことが原因です。

人気がなかった唯一の OST プロジェクトは、資格情報を盗む機能を実装するプロジェクトでした。

リトヴァク氏は、地下ハッキングフォーラムでブラックハットが同様のツールを提供しているため、人気がないと信じていた。 優れた機能を備えており、情報セキュリティが提供する攻撃的なツールの代わりにマルウェアギャングが採用することを選択したもの コミュニティ。

広範な OST の悪用を軽減する方法

しかし、リトヴァクはさらに興味深い観察をした。 Intezer Labs の研究者は、複雑な機能を実装する OST ツールには、より深いレベルの たとえ攻撃的なハッキング能力があったとしても、使用するための理解が攻撃者によって利用されることはほとんどありませんでした。 明らか。

この観察を続けて、リトヴァク氏は、将来攻撃的なハッキング ツールをリリースしたいと考えているセキュリティ研究者は、 また、このアプローチを採用し、コードに複雑さを導入して、脅威アクターがそのコードを採用するのを阻止する必要があります。 ツールセット。

それが不可能な場合、セキュリティ研究者は少なくともコードを独自のものにする必要があるとリトヴァク氏は主張しました。 簡単にフィンガープリントを取得できるようにするために、「特殊な値または不規則な値をライブラリに散りばめる」 検出。

「たとえば、このようなアプローチはMimikatzの作者によって採用されており、生成されたチケットの有効期間はデフォルトで10年に設定されていますが、これは非常に不規則な数字です」とリトヴァク氏は述べた。

研究者の講演も以下に埋め込まれています。 彼の研究の PDF 版が入手可能です ここ.

FBI の最重要指名手配サイバー犯罪者

安全

安全性の高いリモート ワーカーの 8 つの習慣
携帯電話からスパイウェアを見つけて削除する方法
最高の VPN サービス: トップ 5 をどう比較しますか?
データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか
  • 安全性の高いリモート ワーカーの 8 つの習慣
  • 携帯電話からスパイウェアを見つけて削除する方法
  • 最高の VPN サービス: トップ 5 をどう比較しますか?
  • データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか