Noll
När folk hör talas om en cyberattack eller hacka kampanj, de kan bilden av en väl oljad maskin som har tagit sin tid, kompetens och resurser för att bygga.
De föreställer underground forum på mörka webben, där angripare kan köpa kraftfullt malware och släppa lös det på sitt mål om val.
Men vad om att ha tillgång till den finansiering och de kontakter som behövs för att genomföra attacker med kraften av statligt stöd kampanjer var inte krävs?
I vissa fall, verktyg som kan användas för att genomföra skadliga it-verksamheten, som sträcker sig från spioneri till att ta ner infrastruktur är fritt tillgängliga på den öppna webben. Även statligt stödda verksamheten har dragit nytta av dessa gratis verktyg, som en del av sofistikerade it-kampanjer.
Det finns många olika källor för denna kod, som är allmänt tillgänglig på forum för utvecklare och från koden förråd som GitHub. Det är ofta meddelanden som anger att koden är för forskningsändamål endast, men det hindrar inte att den används för ont uppsåt.
Ibland källkod är släppt avsiktligt; i andra fall är det läckt ut. EternalBlue läckt SMB utnyttja att bara några veckor efter att släppa loss användes för att driva den globala WannaCry ransomware utbrott gick sedan på hjälp till att sprida NotPetya.
Det finns även en tredje kategori av verktyg som, även om man inte uttryckligen avsedda att vara skadliga, kan missbrukas för att ge angripare med förmåga att passera infekterade nätverk, övervaka system och mycket mer.
“Det finns saker som inte är skadliga i egentlig mening, men efter utnyttjande verktyg, som Metasploit och Mimikatz som malware aktörer använder ofta, säger Robert Lipovsky, senior malware forskare på ESET.
Oavsett ursprung öppen källkod skadlig kod, ger angripare med ett gratis och enkelt sätt att utföra it-relaterad brottslighet. Det finns ingen anledning att öppna Tor och vinna trovärdighet i mörka webb-forum, innan du kan göra ett köp, kan koden vara fritt plockade från det vanliga internet.
“Dessa verktyg är så otroligt enkelt att när du ladda ner det från GitHub, går du in i konfigurationsfilen och ändra på saker och ting – det är väldigt lätt anpassningsbara, säger Randi Eitzman, senior it-hot analytiker på FireEye. “De är inte att behöva betala någon för dessa tjänster, det är redan på internet för dem”.
Det finns även forum och handledning video som tillåter angripare med även de lägsta nivå av kunskap för att försöka ta en bit av kakan – särskilt när cryptocurrency mining är inblandade.
Med hjälp av din egen dator till mig för Monero eller Bitcoin är helt lagligt, medan du använder crypojacking malware för att i hemlighet stjäla andra maskiner för att generera det är en brottslig verksamhet.
Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
Men, instruktioner om hur man ställer upp mining-verktyg är ute och lätt tillgängliga.
“Det finns ton av videoklipp på YouTube och resurser på internet vilket betyder att vem som helst kan söka och dra upp en “hur du konfigurerar din XMRig konfigurationsfil’ eller ‘hur man sätter upp en egen pool’. Det är väldigt enkelt, någon som inte kod kan följa dessa tutorials på nätet och göra det på en eftermiddag,” Eitzman säger.
I vissa fall, koden bakom skadlig kod var aldrig menade att vara skadliga. Ett framträdande exempel på detta är Gömda Tår, som av vissa bedömare som “open-source ransomware”. Dess källkod publicerades 2015 till GitHub för pedagogiska ändamål, med den uppmärksamhet som möjligt för användarna och för forskarna att undersöka den och hjälpa till att utveckla skydd mot fil-kryptering av skadlig kod.
Men det dröjde inte länge innan människor var att dra nytta av en gratis ransomware kit, och Gömda Tår blev ett lätt sätt för en angripare med mycket lite erfarenhet av att pressa pengar genom att låsa filer-även barnen fick i sig på lagen.
“Några tonåringar som blev arresterad för att använda Dolda Slita för att tjäna lite extra pengar runt skolan – så ja, det är definitivt lätt, människor i tonåren är gafflade ransomware”, säger Chris Doman, säkerhet ingenjör på AlienVault.
Den ursprungliga Dolda Riva GitHub-projektet övergavs för tre år sedan, men genom att peka, anfallare hade redan fått tag på koden och hade gjort kopior av det, de har även fortsatt för att förbättra och göra den mer effektiv.
Även idag, trots något av en nedgång i ransomware, cyber brottslingar ändå att mixtra med den Dolda Riva kod, en ny version av det som kallas Poolezoor vuxit fram i augusti, som visar hur en gång skadlig kod släpps ut i det vilda, det kan vara ett problem i många år framöver.
Dolda Tår är långt ifrån det enda exemplet på hur brottslingar återanvända tillgängliga utnyttjar. Den EternalBlue utnyttja började livet som en hemlighet NSA hacking verktyg innan de utsätts av en hacka grupp och publiceras på nätet. Bara några veckor senare EternalBlue hade använts för att driva WannaCry ransomware, en stor cyberattack som tog ner infrastrukturen i hela världen.
WannaCry var inte den enda attacken som utnyttjas masken-liknande förmåga att utnyttja för att sprida sig. NotPetya följt efter och brottslingar allt mer vänt sig till den öppet tillgängliga EternalBlue som ett medel för att göra sina malware mer potent. Det har använts för att förbättra trojaner och fortfarande används för att leverera cryptojacking malware.
Som koden bakom Gömda Tår, EternalBlue var tillgängliga online för gratis – att ge cyber brottslingar med tillgång till kraftfulla verktyg som ursprungligen utvecklades av en nationalstat.
“EternalBlue skulle förmodligen vara en miljon dollar att göra, men nu WannaCry och andra hacking-attacker är gratis – de är kapabla till cyber vapen, vilket är lite skrämmande, säger Doman.
Utöver cyberbrottslingar att utnyttja läckt nation-state utvecklat toolsets, nation-state hacking verksamheten är allt oftare fritt tillgängliga verktyg till stöd för spioneri och andra it-kampanjer.
Se även: Cyberkrig: En guide till den skrämmande framtiden för online-konflikten
I slutet av 2015 och början av 2016, it-attacker mot det ukrainska energi elnät resulterade i delar av landet lider av strömavbrott under den kallaste och mörkaste delen av året. Dubbade Svart Energi, kampanjen är starkt misstänkt för att vara ett verk av den ryska statligt stödda hackare.
Den phishing-kampanjer och specialbyggda malware präglas av en mycket sofistikerade hot skådespelare, men det tog också nytta av verktyg som finns tillgängliga online.
I det här fallet var det ett verktyg som är fritt tillgängliga på GitHub som kallas GCat bakdörr som gör det möjligt för angripare att ladda ner filer och exekvera shell-kommandon. Angriparna kontrollerade bakdörr via ett Gmail-konto, vilket gör trafiken svåra att upptäcka i det nätverk som angripare gick omkring och orsakar störningar.
Detta fall visar en av de viktigaste fördelarna med att använda dessa verktyg — de är lättare att undvika upptäckt än de flesta former av skadlig kod som i många fall, trots att det inte är släppt för skadliga syften, de är utnyttjade för att göra det — och kan göra detta utan att utlösa upptäckt av säkerhetsprogram.
“Den kan glida under radarn för nätverksadministratörer, säger Lipovsky “Remote access remote administrator verktyg, de är ett bra exempel på saker som kan vara legitimt eller skadligt, beroende på vem som använder det.”
En annan misstänkt ryska hacka drift, Turla, är också kända för att ha använt fritt tillgänglig programvara i attacker, visar hur potent några av de verktyg som finns tillgängliga via det öppna nätet kan vara.
“När den ryska militären använder gratis saker, du vet hur bra som saker är som de har tillräckligt med pengar för att bygga sina egna verktyg, säger Doman.
Att vara fri och potentiellt mycket kraftfull är inte de enda fördelarna med att använda fritt tillgänglig kod för cyberbrottslingar, eftersom sourcing från GitHub erbjuder cyber brottslingar annan stor fördel-det gör angriparna svårare att spåra.
“Det gör attribution svårare, eftersom med skräddarsydda, kundanpassade malware, som ofta kan hänföras till en grupp angripare. Samtidigt med kod som används av många aktörer, det är svårt att säga vem som använder det, säger Lipovsky.
Det är troligt att detta blir ett större problem i framtiden, eftersom angriparna — särskilt lämpliga grupper — ser att använda dessa metoder för att göra attacker svårare att upptäcka och spåra.
Verktyg som Metaspolit och Mimikatz har legitima syften, men kan användas på ett skadligt sätt, samtidigt som du använder samma kod som övriga anfallare gör att lokalisera gärningsmannen mycket svårare.
“Det kommer bara att bli allt svårare att upptäcka dessa verktyg som de är delade, redigeras och ändras – det är en stor utmaning att gå vidare”, säger Eitzman.
Det är inte att säga att hacka grupper kommer att vara att vrida ryggen på custom-byggd för skadlig kod, men tillgången av potenta gratis verktyg som kan utnyttjas i skadliga syften lägger till en annan sträng till angriparens båge. “Brottslingar har alltid använt vad de kan få tag på, säger Doman.
Men, dessa attacker är inte ett fusk som gör det möjligt för angripare att spela hacka spel på easy mode-de som använder dessa verktyg har upptäckts, och i vissa fall har inför konsekvenserna av sina handlingar.
Och viktigare, med dessa angrepp kan upptäckas och stoppas-eller till och med skyddas mot direkt-om organisationer som har en stram grepp om vad som pågår i deras nät.
“Företag behöver för systemadministratörer som vet att deras nätverk tja, vem vet vad som körs på dessa maskiner och vet nätverket väl, och att kunna identifiera filer och beteende som inte borde vara där, säger Lipovsky.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Denna nya trojan malware använder läckt ut källkoden för äkta programvara för att snoka om dutill OSS: Ryssland NotPetya de mest destruktiva cyberattack någonsin [MAG]password (Lösenord) för att stjäla, avlyssning malware mål ukrainska regeringenNästan omöjlig att upptäcka Microsoft Office utnyttja installerar skadlig kod utan en e-postbilaga [TechRepublic]Hackare mål Vinter-Os med nya specialbyggda fileless malware
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0