Lista ofensywnych programów open-source używanych przez cybergangi

13 listopada 2020

Udostępnianie ofensywnego oprogramowania (Offensice Security Tool, zwane dalej OST) jest kontrowersyjnym tematem i już od dekady zwolennicy oraz przeciwnicy ścierają się na swoje argumenty. Niektórzy eksperci twierdzą, że udostępnianie takich narzędzi jest nieodpowiedzialne, ponieważ pozwala to hakerom, a nawet script kidie, rozwijać swoje technik atakowania. Inni uważają, że ich publikacja jest konieczna, i jeśli brać pod uwagę kwestię edukowania badaczy oraz wypracowywania dobrych praktyk obronnych, jest to wręcz konieczne. Analizę takich właśnie narzędzi przeprowadził Paul Litvak z Izraelskiej firmy Intezer.

Kilkadziesiąt narzędzi typu OST sprawdzono pod kątem ponownego ich wykorzystania w cyberatakach. I okazało się, że 29 z nich zostało ujętych w raportach firm z branży cyberbezpieczeństwa, które dostarczają nam informacje o incydentach bezpieczeństwa.

Mapa Offensice Security Tool

  • Interaktywna mapa zawiera nazwy projektów open-source (oznaczone niebieskim kolorem).
  • Kolorem żółtym oznaczono narzędzia, które są używane w atakach ransomware.
  • Pomarańczowym kolorem zaznaczono narzędzia, które są wykorzystywane przez znane grupy hakerskie.
  • Kolor czerwony przypisano dla narzędzi, które są wykorzystywane w atakach grup APT sponsorowanych przez rządy państw.

Mapa jest dostępna pod linkiem: https://www.intezer.com/ost-map/

Ogólnie rzecz biorąc narzędzia na mapie zostały pogrupowane według kategorii, a także według typów ataków do jakich są używane:

  • Wstrzykiwanie złośliwych bibliotek do procesów (20).
  • Oprogramowanie typu RAT (w tym narzędzia do exploitacji – 20).
  • Narzędzia do ekstrakcji danych logowania z pamięci (13).
  • Narzędzia do eskalacji uprawnień (5).
  • Narzędzia „wspierające” (11).
  • Inne (16).
Narzędzia OST według ich typu.

Najbardziej popularnymi narzędziami OST są biblioteki wstrzykiwania do pamięci w celu „podczepiania się pod proces”. Najpopularniejszymi narzędziami są ReflectiveDllInjection, a następnie MemoryModule.

W przypadku oprogramowania Remote Access Trojan (RAT) wiodącymi projektami są Empire, Powersploit i Quasar, a także Mimikatz.

Do podnoszenia uprawnień używa się bibliotekę UACME. Za jej pomocą można obejść zabezpieczenia UAC. Z kolei Win7Elevate jest używane głównie na rynku azjatyckim, gdzie najbardziej popularnymi systemem są XP i Windows 7.

Eksperci w raporcie wymieniają fora hakerskie jako miejsce, gdzie takich narzędzi jest najwięcej. Przykłady obejmują TokenVator (eskalacja uprawnień), NetRipper (post-eksploatacja), SharpSuite (wstrzykiwanie do pamięci) i HookPasswordChange (dostęp do poświadczeń).

Na przykład NetRipper to narzędzie do przechwytywania ruchu sieciowego i zostało ono udokumentowane w raporcie Bitdefendera jako używane przez grupę APT sponsorowaną przez rosyjski rząd.

Przykładami innego, legalnego oprogramowania, są narzędzia z pakietu SysInternals, takie jak PSExec lub ProcDump, które są często wykorzystywane przez hakerów. Narzędzi tych nie należy określać jako ofensywnych, ponieważ ich celem jest raczej wspieranie administratorów niż atakowanie komputerów.

Zwolennicy i przeciwnicy OST

Firma Intezer uważa, że narzędzia OST open-source powinny być oceniane przez społeczność na podstawie ich przydatności, a nie szkód, które mogą wyrządzić w związku z bezpłatną dystrybucją, głównie na platformie GitHub. Użytkownicy o różnych stopniu zaawansowania chętnie używają oprogramowania ofensywnego do własnych badań, projektów edukacyjnych, zdobywania wiedzy o technikach hakerów i sposobach obrony przed nimi.

Przeciwnicy z kolei uważają, że publiczne udostępnianie OST powinno odbywać się w zamkniętych kręgach wtajemniczonych np. na forach specjalistów ds. bezpieczeństwa, do których mieliby dostęp tylko zaproszeni członkowie.

Badacz opublikował też listę wszystkich narzędzi, które zostały przedstawione w raporcie oraz na interaktywnej mapie:

Blackbone, SharpWeb, Tokenvator, HookPasswordChange, injectAllTheThings, coilgun, MemoryModule, ReflectiveDLLInjection, InjectProc, process-inject, SharpSploit, TikiTorch, LethalHTA, SharpExec, RottenPotato, JuicyPotato, SharpCOM, ProcessInjection, UACME, Trebuchet, .NetPELoader, Custom, Mimikatz, passcat, csharp-uhwid, minhook, mhook, DetoursNT, EasyHook, RemCom, BypassUAC/Win7Elevate, unknown_reflective_injector, K8-BypassUAC, PSInject, QuasarRAT, HTran, QuarksPwDump, ImprovedReflectiveDLLInjection, fgdump, WinEggDrop, PortScanner, cardmagic, SimplePELoader, ProxyDll, Dumpert, RunPE-In-Memory, Sharpire, Virtual, Machines, Detection, rewolf-wow64ext, Invoke-Vnc, Covenant, SharpSuite, Process-Hollowing, TpmInitUACBypass, tenable-UACBypass, DccwBypassUAC, ALPC-BypassUAC, WheresMyImplant, SharpHound, NetRipper, InfinityRAT, Metasploit, BypassUAC, OxidDumper, chimera_pe, Custom, Meterpreter, TinyMet, Pinjectra, ruler, Mapping-Injection, CookieMonster, SeatBelt, Rubeus, Lilith, myLittleRansomware, AsyncRAT-C#, PowerShdll, OffensiveCSharp, AmsiScanBufferBypass, TitanHide, SpoolSample, UnmanagedPowerShell, Watson, SCShell, Koadic, FruityC2, PoshC2, veil, Posh-SecMod, Empire, pupy, Trochilus, DKMC, PowerSploit, LaZagne, Apfell, FactionC2, SafetyKatz, BloodHound, reGeorg, iBombShell, FudgeC2, Callidus, SharpHound, KeeThief, jexboss, chrome-passwords, CHAOS, DeathStar, CrackMapExec, WinPwnage, Invoke-TheHash.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone