Lista ofensywnych programów open-source używanych przez cybergangi

13 listopada, 2020

Udostępnianie ofensywnego oprogramowania (Offensice Security Tool, zwane dalej OST) jest kontrowersyjnym tematem i już od dekady zwolennicy oraz przeciwnicy ścierają się na swoje argumenty. Niektórzy eksperci twierdzą, że udostępnianie takich narzędzi jest nieodpowiedzialne, ponieważ pozwala to hakerom, a nawet script kidie, rozwijać swoje technik atakowania. Inni uważają, że ich publikacja jest konieczna, i jeśli brać pod uwagę kwestię edukowania badaczy oraz wypracowywania dobrych praktyk obronnych, jest to wręcz konieczne. Analizę takich właśnie narzędzi przeprowadził Paul Litvak z Izraelskiej firmy Intezer.

Kilkadziesiąt narzędzi typu OST sprawdzono pod kątem ponownego ich wykorzystania w cyberatakach. I okazało się, że 29 z nich zostało ujętych w raportach firm z branży cyberbezpieczeństwa, które dostarczają nam informacje o incydentach bezpieczeństwa.

Mapa Offensice Security Tool

  • Interaktywna mapa zawiera nazwy projektów open-source (oznaczone niebieskim kolorem).
  • Kolorem żółtym oznaczono narzędzia, które są używane w atakach ransomware.
  • Pomarańczowym kolorem zaznaczono narzędzia, które są wykorzystywane przez znane grupy hakerskie.
  • Kolor czerwony przypisano dla narzędzi, które są wykorzystywane w atakach grup APT sponsorowanych przez rządy państw.

Mapa jest dostępna pod linkiem: https://www.intezer.com/ost-map/

Ogólnie rzecz biorąc narzędzia na mapie zostały pogrupowane według kategorii, a także według typów ataków do jakich są używane:

  • Wstrzykiwanie złośliwych bibliotek do procesów (20).
  • Oprogramowanie typu RAT (w tym narzędzia do exploitacji – 20).
  • Narzędzia do ekstrakcji danych logowania z pamięci (13).
  • Narzędzia do eskalacji uprawnień (5).
  • Narzędzia „wspierające” (11).
  • Inne (16).
open source tools wykres
Narzędzia OST według ich typu.

Najbardziej popularnymi narzędziami OST są biblioteki wstrzykiwania do pamięci w celu „podczepiania się pod proces”. Najpopularniejszymi narzędziami są ReflectiveDllInjection, a następnie MemoryModule.

W przypadku oprogramowania Remote Access Trojan (RAT) wiodącymi projektami są Empire, Powersploit i Quasar, a także Mimikatz.

Do podnoszenia uprawnień używa się bibliotekę UACME. Za jej pomocą można obejść zabezpieczenia UAC. Z kolei Win7Elevate jest używane głównie na rynku azjatyckim, gdzie najbardziej popularnymi systemem są XP i Windows 7.

Eksperci w raporcie wymieniają fora hakerskie jako miejsce, gdzie takich narzędzi jest najwięcej. Przykłady obejmują TokenVator (eskalacja uprawnień), NetRipper (post-eksploatacja), SharpSuite (wstrzykiwanie do pamięci) i HookPasswordChange (dostęp do poświadczeń).

Na przykład NetRipper to narzędzie do przechwytywania ruchu sieciowego i zostało ono udokumentowane w raporcie Bitdefendera jako używane przez grupę APT sponsorowaną przez rosyjski rząd.

Przykładami innego, legalnego oprogramowania, są narzędzia z pakietu SysInternals, takie jak PSExec lub ProcDump, które są często wykorzystywane przez hakerów. Narzędzi tych nie należy określać jako ofensywnych, ponieważ ich celem jest raczej wspieranie administratorów niż atakowanie komputerów.

Zwolennicy i przeciwnicy OST

Firma Intezer uważa, że narzędzia OST open-source powinny być oceniane przez społeczność na podstawie ich przydatności, a nie szkód, które mogą wyrządzić w związku z bezpłatną dystrybucją, głównie na platformie GitHub. Użytkownicy o różnych stopniu zaawansowania chętnie używają oprogramowania ofensywnego do własnych badań, projektów edukacyjnych, zdobywania wiedzy o technikach hakerów i sposobach obrony przed nimi.

Przeciwnicy z kolei uważają, że publiczne udostępnianie OST powinno odbywać się w zamkniętych kręgach wtajemniczonych np. na forach specjalistów ds. bezpieczeństwa, do których mieliby dostęp tylko zaproszeni członkowie.

Badacz opublikował też listę wszystkich narzędzi, które zostały przedstawione w raporcie oraz na interaktywnej mapie:

Blackbone, SharpWeb, Tokenvator, HookPasswordChange, injectAllTheThings, coilgun, MemoryModule, ReflectiveDLLInjection, InjectProc, process-inject, SharpSploit, TikiTorch, LethalHTA, SharpExec, RottenPotato, JuicyPotato, SharpCOM, ProcessInjection, UACME, Trebuchet, .NetPELoader, Custom, Mimikatz, passcat, csharp-uhwid, minhook, mhook, DetoursNT, EasyHook, RemCom, BypassUAC/Win7Elevate, unknown_reflective_injector, K8-BypassUAC, PSInject, QuasarRAT, HTran, QuarksPwDump, ImprovedReflectiveDLLInjection, fgdump, WinEggDrop, PortScanner, cardmagic, SimplePELoader, ProxyDll, Dumpert, RunPE-In-Memory, Sharpire, Virtual, Machines, Detection, rewolf-wow64ext, Invoke-Vnc, Covenant, SharpSuite, Process-Hollowing, TpmInitUACBypass, tenable-UACBypass, DccwBypassUAC, ALPC-BypassUAC, WheresMyImplant, SharpHound, NetRipper, InfinityRAT, Metasploit, BypassUAC, OxidDumper, chimera_pe, Custom, Meterpreter, TinyMet, Pinjectra, ruler, Mapping-Injection, CookieMonster, SeatBelt, Rubeus, Lilith, myLittleRansomware, AsyncRAT-C#, PowerShdll, OffensiveCSharp, AmsiScanBufferBypass, TitanHide, SpoolSample, UnmanagedPowerShell, Watson, SCShell, Koadic, FruityC2, PoshC2, veil, Posh-SecMod, Empire, pupy, Trochilus, DKMC, PowerSploit, LaZagne, Apfell, FactionC2, SafetyKatz, BloodHound, reGeorg, iBombShell, FudgeC2, Callidus, SharpHound, KeeThief, jexboss, chrome-passwords, CHAOS, DeathStar, CrackMapExec, WinPwnage, Invoke-TheHash.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]