Cobalt Strike e Metasploit Pro
O Cobalt Strike e o Metasploit Pro são plataformas de teste de pena que as equipes de segurança usam para procurar vulnerabilidades não corrigidas e configurações incorretas em suas redes e para realizar exercícios em equipe. Invasores rotineiramente usam essas ferramentas na condução de ataques em organizações direcionadas.
Os vendedores que vendem esses produtos geralmente testam seus clientes com rigor, então os invasores interessados em usar essas ferramentas precisam obtê-los de fontes subterrâneas, de acordo com o relatório da Positive Technologies.
“Por exemplo, os desenvolvedores do Cobalt Strike estão verificando os compradores, então há uma demanda por versões hackeadas ou obtidas ilegalmente no mercado Dark Web”, diz Leigh-Anne Galloway, líder em resiliência em segurança cibernética da Positive Technologies. “Criminosos podem comprar uma versão modificada do programa, na qual existem funções adicionais que dificultam a detecção”.
PowerShell
Os administradores de sistemas Windows usam o PowerShell para automatizar rapidamente tarefas e configurar sistemas usando um shell de linha de comando. É um recurso embutido em todas as versões do Windows, começando com o Windows XP. O PowerShell também pode ser executado em sistemas Linux. Nos últimos anos, ataques sem arquivos abusando do PowerShell passaram pelo teto.
“Conjuntos de ferramentas como o PowerSploit são escritos no PowerShell, permitindo que invasores carreguem código local e remotamente, ignorem controles de segurança, escalem privilégios, pilhem credenciais e dados confidenciais e muito mais”, diz John Sawyer, diretor associado de serviços de equipe da IOActive. .
O PowerShell sofreu um abuso tão grande nos últimos oito anos que a Microsoft teve que se esforçar para adicionar mais controles de segurança e monitoramento em cada nova versão, diz ele.
Windows Sysinternals
Os administradores usam o Windows Sysinternals, um conjunto de mais de 70 utilitários gratuitos, para gerenciar, solucionar problemas e diagnosticar problemas com sistemas e aplicativos do Windows. O pacote inclui utilitários de arquivos e de disco, utilitários de rede, utilitários de processo e utilitários de segurança que, entre outras coisas, permitem que os administradores executem processos e executem comandos em sistemas remotos. Assim como os administradores dependem muito dessas ferramentas para gerenciar ambientes do Windows, os invasores também os usam rotineiramente em suas campanhas.
Os utilitários da Sysinternals mais freqüentemente abusados, de acordo com a Positive Technologies, incluem o PsExec, para executar comandos e executar cargas úteis em sistemas remotos; ProcDump, para obter credenciais da memória; PsList, para reunir informações sobre todos os processos em execução em um sistema; SDelete, para apagar arquivos; e NirCmd, para execução remota de comandos.
“O PsExec é uma das ferramentas mais abusadas do conjunto, permitindo que administradores e invasores executem comandos remotamente em hosts Windows”, diz Sawyer, da IOActive.
VNC
Os atacantes geralmente usam versões modificadas do VNC – como o Hidden VNC (hVNC) – para se conectar remotamente e controlar um desktop ou um sistema móvel de destino. A principal vantagem dos invasores com tal utilitário é permitir que eles executem comandos de forma invisível em outro sistema com o mesmo nível de acesso que o usuário legítimo do dispositivo.
Instrumentação de Gerenciamento do Windows (WMI)
Os scripts WMI permitem que os administradores do Windows automatizem determinadas tarefas em computadores remotos. Esses scripts permitem que os administradores coletem dados de outros computadores para gerenciar configurações, definir propriedades e permissões do sistema e várias outras tarefas. O WMI também é usado em uma ampla variedade de ataques.
“O WMI é um dos componentes mais fáceis e furtivos de muitos ataques modernos”, observou o SANS Institute em um comunicado no início deste ano. O WMI oferece aos invasores uma maneira de se infiltrar nas ferramentas antimalware de listas de permissões e host do aplicativo, desativar o registro de erros e ofuscar facilmente os scripts mal-intencionados.
Para explorar o WMI, os invasores precisam de acesso em nível de administrador nos dispositivos comprometidos. Com esse nível de acesso, “todos os aspectos da cadeia de eliminação pós-exploração podem ser alcançados com recursos WMI integrados e, infelizmente, um registro mínimo”, de acordo com a SANS.
Mimikatz
O Mimikatz é uma das ferramentas de ataque mais utilizadas nos últimos anos. A ferramenta foi desenvolvida originalmente como uma prova de conceito para destacar vulnerabilidades nos protocolos de autenticação da Microsoft, e os testadores de pena a utilizam para detectar pontos fracos em redes corporativas.
Para os atacantes, o Mimikatz tornou-se a ferramenta de pós-exploração preferida para roubar credenciais e para o movimento lateral em redes comprometidas. Mimikatz, de acordo com o fornecedor de segurança Varonis, é “uma das ferramentas hackers mais usadas e baixadas dos últimos 20 anos”.
TeamViewer
O TeamViewer é outra ferramenta popular de acesso e administração remota que os agentes de ameaças frequentemente abusam para assumir o controle dos sistemas host. Um exemplo recente foi um ataque direcionado contra indivíduos que trabalhavam em várias embaixadas na Europa. Na campanha, o invasor primeiro atraiu as vítimas com um e-mail de phishing disfarçado como um documento secreto do governo dos EUA e baixou uma versão mal-intencionada do TeamViewer no sistema comprometido. O VNC modificado continha funcionalidade para ocultar sua interface, para que as vítimas não soubessem que o utilitário estava sendo executado em seus sistemas.
Executáveis Confiáveis do Sistema
O projeto Bollies and Scripts do Living Off The Land (LOLBAS) lista dezenas de binários, scripts e bibliotecas legítimos que os agentes de ameaças podem, e frequentemente exploram, em ataques. Todos os itens listados na página do projeto possuem alguma funcionalidade inesperada que os torna úteis para os adversários. Entre elas, estão as funções que permitem a execução arbitrária de códigos; upload, download e cópia de arquivos; roubo de credencial; compilar código; e alcançar a persistência em um sistema comprometido.
Os binários, bibliotecas e scripts no site LOLBAS são ótimos exemplos de executáveis confiáveis distribuídos com o Windows que estão sendo abusados, diz Sawyer, da IOActive. “O projeto demonstra maneiras de abusar desses binários para carregar código executável e scripts para burlar os produtos de segurança de terminais, elevar privilégios ou manter a persistência”, diz ele.