Los delincuentes aman las herramientas de hacking ofensivo de código abierto (OST)
En el campo de la seguridad, el término OST (Offensive Security Tools) se refiere a
aplicaciones de software, bibliotecas y exploits que poseen capacidades de
hacking ofensivo y se han lanzado para descargas gratuitas o bajo una licencia
de código abierto. Estas herramientas de hacking lanzadas por investigadores
de seguridad a menudo también terminan siendo abusadas por "los malos".
Los proyectos OST generalmente se publican para proporcionar un exploit de prueba de concepto para una nueva vulnerabilidad, para demostrar una técnica de hacking nueva (o antigua) o como utilidades de prueba de penetración compartidas con la comunidad.
Hoy en día, OST es uno de los temas más (si no el más) controvertidos en la comunidad de seguridad de la información (infosec). Por un lado, está la gente que está a favor de lanzar tales herramientas, argumentando que pueden ayudar a los defensores a aprender y preparar sistemas y redes para futuros ataques.
En el lado opuesto, están los que dicen que los proyectos OST ayudan a los atacantes a reducir los costos de desarrollar sus propias herramientas y ocultar actividades en una nube de pruebas y pruebas de detección legítimas.
Esto es lo que Paul Litvak, investigador de seguridad de la firma de seguridad cibernética Intezer Labs, ha tratado de abordar a principios de este mes, en una charla en la conferencia de seguridad Virus Bulletin.
Litvak compiló datos sobre 129 herramientas de hacking ofensivo de código abierto y buscó a través de muestras de malware e informes de seguridad cibernética para descubrir qué tan generalizada estaba la adopción de proyectos OST entre grupos de delincuentes, como bandas de malware de bajo nivel, grupos de delincuencia financiera de élite e incluso a nivel nacional -APT patrocinadas por el estado-.
Los resultados se recopilaron en este mapa interactivo. Una versión en PDF de su investigación está disponible aquí.
Los proyectos OST generalmente se publican para proporcionar un exploit de prueba de concepto para una nueva vulnerabilidad, para demostrar una técnica de hacking nueva (o antigua) o como utilidades de prueba de penetración compartidas con la comunidad.
Hoy en día, OST es uno de los temas más (si no el más) controvertidos en la comunidad de seguridad de la información (infosec). Por un lado, está la gente que está a favor de lanzar tales herramientas, argumentando que pueden ayudar a los defensores a aprender y preparar sistemas y redes para futuros ataques.
En el lado opuesto, están los que dicen que los proyectos OST ayudan a los atacantes a reducir los costos de desarrollar sus propias herramientas y ocultar actividades en una nube de pruebas y pruebas de detección legítimas.
Un mapa interactivo para el uso de OST
Estas discusiones se llevan a cabo durante más de una década. Sin embargo, siempre se han basado en experiencias y convicciones personales, y nunca en datos reales en bruto.Esto es lo que Paul Litvak, investigador de seguridad de la firma de seguridad cibernética Intezer Labs, ha tratado de abordar a principios de este mes, en una charla en la conferencia de seguridad Virus Bulletin.
Litvak compiló datos sobre 129 herramientas de hacking ofensivo de código abierto y buscó a través de muestras de malware e informes de seguridad cibernética para descubrir qué tan generalizada estaba la adopción de proyectos OST entre grupos de delincuentes, como bandas de malware de bajo nivel, grupos de delincuencia financiera de élite e incluso a nivel nacional -APT patrocinadas por el estado-.
Los resultados se recopilaron en este mapa interactivo. Una versión en PDF de su investigación está disponible aquí.
Los OST más populares
Litvak descubrió que los OST se adoptan ampliamente en todo el ecosistema del
ciberdelito. Desde grupos famosos de estados-nación como DarkHotel hasta
operaciones de ciberdelito como TrickBot, muchos grupos implementaron
herramientas o bibliotecas que habían sido desarrolladas inicialmente por
investigadores de seguridad, pero que ahora se utilizan regularmente para el
ciberdelito.
"Descubrimos [que] los proyectos adoptados con mayor frecuencia eran las bibliotecas de inyección de memoria y las herramientas RAT. La herramienta de inyección de memoria más popular fue la biblioteca ReflectiveDllInjection, seguida de la biblioteca MemoryModule. Para las RAT [herramientas de acceso remoto], Empire, Powersploit y Quasar fueron los proyectos líderes".
La categoría de movimiento lateral estuvo dominada por Mimikatz, para sorpresa de nadie. Las bibliotecas de derivación de UAC estaban dominadas por la biblioteca de UACME. Sin embargo, los grupos de delincuentes informáticos asiáticos parecían haber preferido Win7Elevate, probablemente debido a la base de instalación regional más grande de Windows 7.
Los únicos proyectos OST que no fueron populares fueron los que implementaron funciones de robo de credenciales. Litvak cree que no eran populares debido a herramientas similares proporcionadas por los sombreros negros en foros de hacking clandestinos, herramientas que vienen con características superiores y que las bandas de malware eligen adoptar en lugar de las herramientas ofensivas proporcionadas por la comunidad de seguridad.
"Descubrimos [que] los proyectos adoptados con mayor frecuencia eran las bibliotecas de inyección de memoria y las herramientas RAT. La herramienta de inyección de memoria más popular fue la biblioteca ReflectiveDllInjection, seguida de la biblioteca MemoryModule. Para las RAT [herramientas de acceso remoto], Empire, Powersploit y Quasar fueron los proyectos líderes".
La categoría de movimiento lateral estuvo dominada por Mimikatz, para sorpresa de nadie. Las bibliotecas de derivación de UAC estaban dominadas por la biblioteca de UACME. Sin embargo, los grupos de delincuentes informáticos asiáticos parecían haber preferido Win7Elevate, probablemente debido a la base de instalación regional más grande de Windows 7.
Los únicos proyectos OST que no fueron populares fueron los que implementaron funciones de robo de credenciales. Litvak cree que no eran populares debido a herramientas similares proporcionadas por los sombreros negros en foros de hacking clandestinos, herramientas que vienen con características superiores y que las bandas de malware eligen adoptar en lugar de las herramientas ofensivas proporcionadas por la comunidad de seguridad.
Formas de mitigar el abuso general de OST
Pero Litvak hizo una observación aún más interesante. El investigador dijo que
los atacantes rara vez empleaban herramientas OST que implementaban
características complejas que requerían un nivel más profundo de comprensión
para su uso, incluso si sus capacidades de hacking ofensiva eran obvias.
Continuando con esta observación, Litvak argumenta que los investigadores de seguridad que deseen lanzar herramientas de hacking ofensivas en el futuro también deberían adoptar este enfoque e introducir complejidad en su código, para disuadir a los actores de amenazas de adoptar sus conjuntos de herramientas.
Si esto no es posible, Litvak argumentó que los investigadores de seguridad deberían al menos hacer que su código sea único "rociando la biblioteca con valores especiales o irregulares" para permitir una fácil detección y toma de huellas dactilares. "Por ejemplo, este enfoque fue adoptado por el autor de Mimikatz, donde la vida útil de un ticket generado se deja en 10 años por defecto, un número muy irregular", dijo Litvak.
Fuente: ZDNet
Continuando con esta observación, Litvak argumenta que los investigadores de seguridad que deseen lanzar herramientas de hacking ofensivas en el futuro también deberían adoptar este enfoque e introducir complejidad en su código, para disuadir a los actores de amenazas de adoptar sus conjuntos de herramientas.
Si esto no es posible, Litvak argumentó que los investigadores de seguridad deberían al menos hacer que su código sea único "rociando la biblioteca con valores especiales o irregulares" para permitir una fácil detección y toma de huellas dactilares. "Por ejemplo, este enfoque fue adoptado por el autor de Mimikatz, donde la vida útil de un ticket generado se deja en 10 años por defecto, un número muy irregular", dijo Litvak.
Fuente: ZDNet
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!