攻撃者のツール事情に関して複数挙がっている記事を見つけてしまうと色々考えてしますシリーズ。
OSS/無償ツールと商用ツールとして特定できたものだけ、リストしている。
cloud.google.com
OSS / 無償公開ツール
ポストエクスプロイト/C2フレームワーク
総合的に色々攻撃ツールが詰まっている系。
| ツール名 | リンク |
|---|---|
| Metasploit Framework | https://github.com/rapid7/metasploit-framework |
| Mythic C2 | https://github.com/its-a-feature/Mythic |
| Havoc Framework | https://github.com/HavocFramework/Havoc |
| AdaptixC2 | https://github.com/Adaptix-Framework/AdaptixC2 |
| Amnesiac | https://github.com/Leo4j/Amnesiac |
| Impacket | https://github.com/fortra/impacket |
| PowerSploit | https://github.com/PowerShellMafia/PowerSploit |
| Mimikatz | https://github.com/gentilkiwi/mimikatz |
| NetExec | https://github.com/Pennyw0rth/NetExec |
C2って結局何が良いだろうねぇというのは、よくレッドチーム界隈で話をするがやっぱ好み。
kali linuxは、デフォルト「Metasploit Framework」搭載だからこれがおススメなのかな。
GUIが良いならHavocだろうし、CLIならここに無いけどSliverだろうか。
柔軟性を意識するならMythic?
これまで、Cobalt Strikeの無償系代替といえばHavocという位置づけだったと思うが、Havocは2月にOSS更新がストップした。そして、有償版(Pro)に移行してしまった。
ならば、時点はAdaptixしかないだろう。
今後のC2界隈はAdaptixが盛り上がること間違いなし。
Amnesiacはここで初めて知った。Powershellベースなので、どちらかというと使いにくい印象。ターゲットのネットワーク内の端末を完全侵害してから使う想定?
結局、Windows/Active Directoryを攻撃するならImpacketとMimikatzは外せない。
そして、Crackmapexecからはもう既に皆さん卒業したのでしょう。NetExecの方が優先されるようになっている。
NetExecはどんどん機能拡張されて何でもツールになりつつある。
便利な面で分かりやすくIoCとなる箇所が増加していくので、ペネトレーションテストとかだと使いにくい場面もある。
トンネラー/プロキシ
グローバルIPの無い端末への通信を経由したり、攻撃者が直接アクセスできない端末への通信経路を作成したりする。
| ツール名 | リンク |
|---|---|
| Chisel | https://github.com/jpillora/chisel |
| Cloudflared | https://github.com/cloudflare/cloudflared |
| pysoxy | https://github.com/MisterDaneel/pysoxy |
| rpivot | https://github.com/klsecservices/rpivot |
| revsocks | https://github.com/kost/revsocks |
| OpenSSH | https://github.com/openssh/openssh-portable |
正直Chiselはペネトレーションテストでは使うけど、攻撃者はあんまり使わないイメージがあったが。
シングルバイナリで収まって、HTTP経由できるのは好まれる特徴か。
cloudflaredの使用は増えてきているイメージある。CloudFlareを経由するので、怪しい通信として見られにくいのを狙っている可能性はある。
でも、cloudflaredが使われ過ぎてマルウェアとして検知されるし、CloudFlareを経由が怪しいものとして検知される場面も増えてきている。
python系のプロキシが簡単に使えるっていうのは分からなくは無いが、ターゲットはWindowsが多いだろうし逆に使いにくくないか?と思った。
SOCKS5使えて、簡単にポートフォワーディングできて怪しくないOpenSSHもよく使われる。
今は、Windowsにデフォルトでsshクライアントが搭載されているからポートフォワーディングが楽になったんだろうなぁ。
OpenSSHのWindows環境へのインストールも楽になったし、普通に使う環境とそうではない環境の選り分けは丁寧にやっておかないといけなくなった。
偵察 / ネットワークスキャン
内部ネットワークにどんなサーバがあるか、どんあポートが空いているか簡単に調査できるツール。
| ツール名 | リンク |
|---|---|
| Angry IP Scanner | https://github.com/angryip/ipscan |
| Advanced IP Scanner | https://www.advanced-ip-scanner.com (フリーウェア) |
どちらも本当にランサムウェア被害の調査でよくみる。
どちらもGUIで簡単ネットワークスキャンツール。
やはりGUI操作は便利。
RMMを仕込むかRDPした後にGUIツール群を設置して、使用しているイメージ。
認証情報窃取/権限昇格
認証情報収集。
| ツール名 | リンク |
|---|---|
| Veeam-Get-Creds.ps1 | https://github.com/sadshade/veeam-creds |
| LaZagne | https://github.com/AlessandroZ/LaZagne |
VeeamとかArcserveはバックアップソリューションなので、ランサムウェア被害で狙われやすい。
特にVeeamは研究されていて重大な脆弱性の話が多いので、ちゃんとアップデートしないと超危険。
とはいいつつ、ここは認証情報窃取の話。
LaZagneは遂に使われなくなったとのことだが、名前が挙がっていたので記載してる。
あんだけ大量にインフォスティーラーが出回っているから、そりゃ要らなくなるよね。
セキュリティ無効化 (BYOVD)
| ツール名 | リンク |
|---|---|
| Terminator | https://github.com/ZeroMemoryEx/Terminator |
BYOVDってWindows 11系だとMVDBLがあるから、使い古されたものは最新環境だと意味が無いと思う。
ちょっと古い環境には超効果あるだろうし、使うところでは使っているんだろうなぁという感じ。
ちゃんと検証したことが無いから分からないが、Terminatorの使うドライバの「zam64.sys」は3年前から脆弱って分かっているわけだし、さすがにMVDBLに載ってるだろうからあんまり効果ないでしょう?
データ窃取
データ送受信、データ圧縮など。
| ツール名 | リンク |
|---|---|
| Rclone | https://github.com/rclone/rclone |
| restic | https://github.com/restic/restic |
| Megatools | https://megatools.megous.com |
| 7-Zip | https://www.7-zip.org |
| FileZilla | https://filezilla-project.org |
| WinSCP | https://winscp.net |
| Cyberduck | https://github.com/iterate-ch/cyberduck |
| Gpg4win | https://www.gpg4win.org |
| AzCopy | https://github.com/Azure/azure-storage-azcopy |
超使われるのは、Rclone。
あらゆるデータ転送方法とデータ転送先に対応しているのがヤバイ。
その便利さは攻撃者も沢山使うほど。
時点は、最近だとAzCopyが目立つか?
Azureのストレージに送信するので、不審な通信として検知されにくくなる。
ラテラルムーブメント
1つの端末侵害後に他の端末に移動するツール。
| ツール名 | リンク |
|---|---|
| PuTTY | https://www.chiark.greenend.org.uk/~sgtatham/putty/ |
| KiTTY | https://github.com/cyd01/KiTTY |
| PsExec (Sysinternals) | https://learn.microsoft.com/en-us/sysinternals/downloads/psexec |
OpenSSHクライアントが無いならPuTTYを使えばいいじゃないかというくらいに登場する。
WindowsにOpenSSHクライアントが標準搭載される前はこの選択肢が一番だったし、WindowsでGUIでSSHするならまだPuTTYが一番でしょう。
KiTTYって初めて知ったんだが、ぶっちゃけ何が良いのか分からん。
チャットサーバっていうのが良いのだろうか。うーむ。
スクリプトや自動コマンド実行のためにKiTTYが使いやすいっていう話があるので、そういうことかもしれない。
管理者権限を取ったら、PsExecでSYSTEM権限取りにいくし、ADサーバからマルウェア配布とか横展開にPsExecは超使われる。
Microsoftの配布しているSysinternalsは色々なツールがあり、マルウェアとして検知されにくくなることもあるというのはよくよく知られた話。
Sysinternalsは奥が深い。
RMM(無償/OSSのもの)
GUIでリモートアクセスを可能にするアプリケーション。グローバルIPが無くても簡単にアクセスできるようにもする。
| ツール名 | リンク |
|---|---|
| RustDesk | https://github.com/rustdesk/rustdesk |
| MeshAgent (MeshCentral) | https://github.com/Ylianst/MeshCentral |
| DWAgent | https://www.dwservice.net |
| Chrome Remote Desktop | https://remotedesktop.google.com (Google提供、無償) |
| Quick Assist | Windows標準搭載 (Microsoft、無償) |
実際に使用されるのは、AnyDesk、ScreenConnect、TeamViewerが殆どなので使用されたのを見たことは無いが。
こういうのは世の中に無数にあるので、そうなんだぁくらいの感覚。
Chrome Remote Desktopって確かに手軽に接続できて良さそう感はあるけど、攻撃者のGoogleアカウントというIoCを一つ増やすことになるからあんまり攻撃者的には好まれない可能性も。
OS標準 / Microsoft提供ツール
Windownにデフォルト搭載、もしくはMicrosoftが公式から配布しているツール。
| ツール名 | 備考 |
|---|---|
| BitLocker | Windows Pro以上に標準搭載。暗号化ツールとして悪用 |
| wevtutil | Windows標準。ログ削除に悪用 |
| msiexec | Windows標準。CLOUDFLAREDインストールに悪用 |
| Xcopy | Windows標準。ファイルコピー/ステージングに悪用 |
| SQL Server Import and Export Wizard | Microsoft SQL Server付属。DBエクスポートに悪用 |
Bitlockerがランサムウェアの代替として目立つようになったのはいつからだろうか。
ランサムウェアの暗号化は、スピードとターゲットファイルの種類の制御、1ファイルに対しての暗号化量のトレードオフを詰めていくのが流行りというのとBitlocker使用はある意味逆行している。
ただし、BitlockerはMicrosoftお墨つきの安定して確実な暗号化機構。
攻撃者的にも被害者的にも暗号化には安定感があるということだろうか。
ドライブごとの暗号化なので、ランサムウェアに比べると圧倒的に暗号化スピードは遅いが。
10TBのドライブのBitlocker暗号化の被害の調査をしたことがあるが、何で気づかなかったんだという想いしかない。
ランサムウェアなら重要ファイルに絞って数分~10分くらいで暗号化終えるが、Bitlockerは状況によって数時間かかることもあり得る。気づいて欲しい......。
商用ツール
そんなに多く無いし、まとめて。
| ツール名 | リンク | 種別 |
|---|---|---|
| Cobalt Strike (BEACON) | https://www.cobaltstrike.com | ペネトレーションテスト / C2フレームワーク |
| AnyDesk | https://www.anydesk.com | リモートデスクトップ |
| ScreenConnect (ConnectWise Control) | https://www.connectwise.com/platform/unified-management/control | リモートデスクトップ |
| Splashtop | https://www.splashtop.com | リモートデスクトップ |
| Atera | https://www.atera.com | リモート監視・管理 (RMM) |
| DameWare | https://www.solarwinds.com/dameware-remote-everywhere | リモートデスクトップ |
| Teramind | https://www.teramind.co | 従業員監視・行動分析 |
| Time Doctor | https://www.timedoctor.com | 従業員監視・勤怠管理 |
| SoftPerfect Network Scanner | https://www.softperfect.com/products/networkscanner/ | ネットワークスキャナ |
| WinRAR | https://www.win-rar.com | ファイル圧縮・展開 |
| Total Commander | https://www.ghisler.com | ファイルマネージャ |
| IObit Uninstaller | https://www.iobit.com/en/advanceduninstaller.php | アンインストーラ / ファイルロック解除 |
| MEGASync | https://mega.io | クラウドストレージ同期クライアント |
ペネトレーションテストで使用されるCobalt Strike。
有償の商用ツールなので、おそらく攻撃者は合法的な方法で手に入れているわけではないだろう。
Cobalt Strikeの購入は購入者や購入企業に関する事前のヒアリングやリーガルチェックが行われているので、野良の一般人とかポッと出の企業が購入するのは難しいと考える。
なので、攻撃者はハッカーフォーラムなどで売買されているクラックライセンスバージョンを使用しているのではないかと。
クラックライセンスバージョンって最新バージョンではないのが殆どなので、ちょっと古いバージョンのCobalt Strikeかなぁ。
RMM系は本当によくみるアプリケーション達。
ランサムウェア攻撃者に使用されるし、サポート詐欺にも使用されるし。
その所為なのか、各社無償版を止めて審査後に使用可能な有償版のみの提供になりつつある。
ランサムウェア被害調査で、例のサッカーボール(SoftPerfect Network Scanner)を何度見ただろうか。
本当に何度も出会うサッカーボール。
こっちは差し迫った調査しているのに、バカにしてるのかという気持ちになって調査しているときもあった。
攻撃者だからといって有償のツールばかり悪用でもないし、無償のツールでも沢山使う
無償のツールばかりだとよく知られたIoCだらけで検知はされやすいだろうが、ちゃんと監視できている企業はまだそんなに多く無いから使用できてしまっているという状況だろうか。
攻撃者によく使用される/悪用されやすいツールは、お金があっても単純に「購入」ボタンポチっで使えるわけではなくて審査があるので簡単に使用できるわけではない。
ところで、ペネトレーションテストやっている企業でどれほどの企業が有償ツールでペネトレーションテストやっているのかとても気になりますね。
CymulateとかのBASアプリケーションやNessus、自動ペネトレーションテスト系は対象外として、Metasploit ProやCobalt StrikeといったC2の役割を持つやつとか手動でのペネトレーションテストが可能なツール。
どれほどのペネトレーションテストサービスでちゃんとした有償ツールが使用されているのか、とても気になりますね。とても。
別に、ペネトレーションテストやる側も会社が全然お金を出してくれなくても、お客様には「攻撃者も無償のツールをバンバン使うので、十分攻撃者目線の攻撃になりマっす!」って言えるんですけど。
