A las bandas de malware les encantan las herramientas de piratería ofensivas de código abierto

En el campo de la seguridad cibernética, el término OST se refiere a aplicaciones de software, bibliotecas y exploits que poseen capacidades de piratería ofensiva y se han lanzado como descargas gratuitas o bajo una licencia de código abierto.\n\nLos proyectos OST generalmente se publican para proporcionar un exploit de prueba de concepto para una nueva vulnerabilidad, para demostrar una técnica de piratería nueva (o antigua) o como utilidades de prueba de penetración compartidas con la comunidad.\n\nHoy en día, OST es uno de los temas más (si no el más) controvertidos en la comunidad de seguridad de la información (infosec). \u003cbr\u003e\n\nPor un lado, está la gente que está a favor de lanzar tales herramientas, argumentando que pueden ayudar a los defensores a aprender y preparar sistemas y redes para futuros ataques.\n\nEn el lado opuesto, están los que dicen que los proyectos OST ayudan a los atacantes a reducir los costos de desarrollar sus propias herramientas y ocultar actividades en una nube de pruebas y pruebas de detección legítimas.\n\nEstas discusiones han tenido lugar durante más de una década. \u003cbr\u003e Sin embargo, siempre se han basado en experiencias y convicciones personales, y nunca en datos reales en bruto.\n\nEsto es lo que Paul Litvak, investigador de seguridad de la firma de seguridad cibernética Intezer Labs, ha tratado de abordar a principios de este mes, en una charla en la conferencia de seguridad Virus Bulletin.\n\nLitvak compiló datos sobre 129 herramientas de piratería ofensiva de código abierto y buscó a través de muestras de malware e informes de seguridad cibernética para descubrir qué tan generalizada estaba la adopción de proyectos OST entre grupos de piratería, como bandas de malware de bajo nivel, grupos de delincuencia financiera de élite e incluso a nivel nacional APT patrocinadas por el estado. \u003cbr\u003e\n\nLos resultados se recopilaron en este mapa interactivo.\n\nLitvak descubrió que los OST se adoptan ampliamente en todo el ecosistema del ciberdelito. Desde famosos grupos de estados-nación como DarkHotel hasta operaciones de ciberdelito como TrickBot, muchos grupos implementaron herramientas o bibliotecas que habían sido desarrolladas inicialmente por investigadores de seguridad, pero que ahora se utilizan regularmente para el ciberdelito.\n\n\"Descubrimos [que] los proyectos adoptados con más frecuencia eran las bibliotecas de inyección de memoria y las herramientas RAT\", dijo Litvak.\n\n\"La herramienta de inyección de memoria más popular fue la biblioteca ReflectiveDllInjection, seguida de la biblioteca MemoryModule. Para las RAT [herramientas de acceso remoto], Empire, Powersploit y Quasar fueron los proyectos líderes. \u003cbr\u003e\"\n\nLa categoría de movimiento lateral estuvo dominada por Mimikatz, para sorpresa de nadie.\n\nLas bibliotecas de derivación de UAC estaban dominadas por la biblioteca UACME. Sin embargo, los grupos de piratas informáticos asiáticos parecían haber preferido Win7Elevate, probablemente debido a la base de instalación regional más grande de Windows 7. \u003cbr\u003e\n\nLos únicos proyectos OST que no fueron populares fueron los que implementaron funciones de robo de credenciales.\n\nLitvak creía que no eran populares debido a herramientas similares proporcionadas por los sombreros negros en foros de piratería clandestinos, herramientas que vienen con características superiores, que las bandas de malware eligieron adoptar en lugar de las herramientas ofensivas proporcionadas por la comunidad de seguridad.\n\nPero Litvak hizo una observación aún más interesante. \u003cbr\u003e El investigador de Intezer Labs dijo que los atacantes rara vez empleaban herramientas OST que implementaban características complejas que requerían un nivel más profundo de comprensión para su uso, incluso si sus capacidades de piratería ofensiva eran obvias.\n\nContinuando con esta observación, Litvak argumenta que los investigadores de seguridad que deseen lanzar herramientas de piratería ofensivas en el futuro también deberían adoptar este enfoque e introducir complejidad en su código, para disuadir a los actores de amenazas de adoptar sus conjuntos de herramientas.\n\nSi esto no es posible, Litvak argumentó que los investigadores de seguridad deberían al menos hacer que su código sea único \"rociando] la biblioteca con valores especiales o irregulares\" para permitir una fácil detección y toma de huellas dactilares. \u003cbr\u003e\n\n\"Por ejemplo, este enfoque fue adoptado por el autor de Mimikatz, donde la vida útil de un boleto generado se deja en 10 años por defecto, un número muy irregular\", dijo Litvak.\n\nLa charla del investigador también se incluye a continuación. Una versión en PDF de su investigación está disponible aquí. \u003cbr\u003e\n\npags\n\nVER GALERIA COMPLETA.