На Cobalt Strike и Metasploit пришлось четверть всех вредоносных командных серверов в 2020 году

Cobalt Strike и Metasploit, два набора инструментов для тестирования на проникновение, обычно используемые исследователями безопасности, использовались для размещения более четверть всех серверов управления и контроля вредоносных программ (C&C), развернутых в 2020 году, сообщила компания Recorded Future, занимающаяся разведкой угроз. а отчет сегодня.

Охранная фирма заявила, что в прошлом году она отследила более 10 000 командных серверов вредоносного ПО, относящихся к более чем 80 штаммам вредоносного ПО.

Операции с вредоносным ПО были делом рук как спонсируемых государством, так и финансово мотивированных хакерских групп.

Эти группы распространяли вредоносное ПО различными методами. Если вредоносному ПО удалось заразить устройства жертвы, оно отправит отчет на сервер управления и контроля, откуда запросит новые команды или загрузит украденную информацию.

«Под капотом» эти командные серверы могут быть созданы специально для конкретного семейства вредоносных программ или могут использовать известные технологии, как закрытые, так и открытые проекты.

За прошедшие годы индустрия информационной безопасности отметила растущая тенденция в использовании инструментов безопасности с открытым исходным кодом в рамках операций с вредоносным ПО, и особенно в результате более широкого использования «наступательных инструментов безопасности», также известных как OST, инструментов красной команды или наборов инструментов для тестирования на проникновение.

Наиболее сложные из этих инструментов работают, моделируя действия злоумышленника, включая возможность размещения вредоносного ПО. C&C, чтобы проверить, может ли защита компании обнаружить веб-трафик от зараженных хостов к «поддельному» вредоносному C&C. сервер.

Но операторы вредоносных программ также быстро поняли, что они также могут использовать эти инструменты «хороших парней» как свои собственные. затем спрячьте реальный трафик вредоносного ПО внутри того, что компании и фирмы, занимающиеся безопасностью, могут назвать обычным «проникновением». тест."

По данным Recorded Future, два из этих наборов инструментов для тестирования на проникновение стали двумя наиболее широко используемыми. технологии размещения командных серверов вредоносного ПО — а именно Cobalt Strike (13,5% всех командных серверов вредоносного ПО 2020 года) и Metasploit (с 10,5%).

Первое - это Кобальтовый удар, набор инструментов для «эмуляции противника» с закрытым исходным кодом, который авторы вредоносных программ взломанный и злоупотребляемый годами, обнаруженный на 1441 сервере в прошлом году.

Второй Метасплоит, набор инструментов для тестирования на проникновение с открытым исходным кодом, разработанный охранной фирмой Rapid7, который также был широко используется авторами вредоносных программ из-за того, что оно постоянно получает обновления по всему миру. годы.

Третьим в списке наиболее популярных командных серверов вредоносного ПО оказался PupyRAT, троян удаленного администрирования. PupyRAT не является инструментом безопасности, но занял третье место, поскольку его кодовая база была выложена в открытый доступ на GitHub в 2018 году, что привело к росту популярности среди операций по борьбе с киберпреступностью.

Однако, помимо Cobalt Strike и Metasploit, многие другие наступательные инструменты безопасности также подвергались злоупотреблениям со стороны вредоносных программ, хотя и в меньшей степени.

Несмотря на это, среди групп, которые злоупотребляли этими инструментами, было множество спонсируемых государством хакерских групп, занимающихся операциями кибершпионажа, сообщает Recorded Future.

Но в отчете Recorded Future также рассматриваются другие аспекты работы командного сервера вредоносного ПО. Другие наблюдения включают в себя:

• В среднем срок службы серверов управления и контроля (то есть время, в течение которого на сервере размещалась вредоносная инфраструктура) составлял 54,8 дня.
• Мониторинг только «подозрительных» хостинг-провайдеров может оставить «слепые зоны», поскольку 33% C&C-серверов размещались в США, причем многие из них — у надежных провайдеров.
• Все хостинг-провайдеры, у которых было больше всего серверов управления и контроля в своей инфраструктуре, находились в США: Amazon, Digital Ocean и Choopa.