Nul
Når folk hører om en cyber-angreb eller hacking kampagne, de kan forestille sig en velsmurt maskine, der har taget tid, kompetencer og ressourcer til at opbygge.
De forestiller sig, underjordiske fora på den mørke web, hvor angribere kan købe stærk malware, og slip det på deres mål på valg.
Men hvad nu, hvis der adgang til finansiering og kontakter, der er nødvendige for at gennemføre angreb med magt af state-backed-kampagner ikke var nødvendig?
I nogle tilfælde, værktøjer, som kan bruges til at udføre ondsindede cyber aktiviteter, der spænder fra spionage til at tage ned infrastruktur er frit tilgængelige på det åbne web. Selv state-backed operationer, der har draget fordel af disse værktøjer, som en del af avanceret cyber-kampagner.
Der er forskellige kilder til denne kode, som er almindeligt tilgængelige på udvikler fora og fra kode repositories som GitHub. Der er ofte beskeder om, at koden er til forskningsformål, men det betyder ikke stoppe det, bliver brugt til ondsindede hensigter.
Nogle gange er denne kilde kode, der er udgivet bevidst; i andre tilfælde er det lækket. EternalBlue, lækket SMB udnytte, at blot få uger efter at være blevet sluppet løs blev brugt til at drive den globale WannaCry ransomware udbrud derefter gik på at sprede NotPetya.
Der er også en tredje kategori af værktøjer, som, mens der ikke udtrykkeligt er designet til at være skadelige, kan misbruges til at give angriberne med evnen til at krydse inficeret netværk, overvåge systemer og meget mere.
“Der er ting, som ikke er malware i den strengeste forstand af ordet, men efter udnyttelse værktøjer, som Metasploit og Mimikatz som malware operatører ofte bruger,” siger Robert Lipovsky, senior malware forsker hos ESET.
Uanset oprindelsen af open source skadelig kode, det giver angriberne med en gratis og let måde at udføre it-kriminalitet. Der er ingen grund til at åbne Tor og vinde troværdighed i mørke web-fora, før du være i stand til at foretage et køb, kan koden kan frit plukket fra det almindelige internet.
“Disse værktøjer er så utroligt enkelt, at når du henter det fra GitHub, skal du gå til konfiguration fil og ændre tingene – det er meget nemt tilpasses,” siger Randi Eitzman, senior cyber trussel, analytiker hos FireEye. “De er ikke at skulle betale nogen for disse ydelser, er det, der allerede er på internettet for dem”.
Der er endnu fora og tutorial videoer for at gøre det muligt for angribere med selv det laveste niveau af viden til at forsøge at få fat i et stykke af kagen – især når cryptocurrency minedrift er involveret.
Ved hjælp af din egen maskine til mine Monero eller Bitcoin er helt lovligt, mens du bruger crypojacking malware til hemmeligt at kapre andre maskiner til at generere det er en kriminel aktivitet.
Se også: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
Men, instruktioner om, hvordan at oprette mining værktøjer er ud der og til rådighed.
“Der er tons af videoer på YouTube og ressourcer på internettet, som betyder, at alle kan søge, og træk op for en ‘hvordan du konfigurerer din XMRig konfiguration fil “eller” hvordan til at oprette en tilpasset pool”. Det er meget let, en person der ikke kan kode, kan du følge disse tutorials online og gøre det på en eftermiddag,” Eitzman siger.
I nogle tilfælde, koden bag malware var aldrig meningen, at være skadelige. Et fremtrædende eksempel på dette er Skjult Tåre, nævnt af nogle analytikere som “open-source ransomware”. Dens kildekode blev offentliggjort i 2015 til GitHub til uddannelsesmæssige formål, med den opmærksomhed, der tillader brugere og forskere til at undersøge det, og hjælpe med at udvikle beskyttelse mod fil-kryptering af malware.
Det var dog ikke længe, før folk begyndte at drage fordel af en gratis ransomware kit, og Skjulte Tåre blev en nem måde for angribere, med meget lidt erfaring til at presse penge ved at låse filer — selv skolebørn var at få i på handlingen.
“Et par teenagere fik anholdt for at bruge Skjulte Rive for at gøre nogle ekstra kontanter omkring skolen – så ja, det er absolut let, mennesker i deres teenagere er forking ransomware” siger Chris Doman -, sikkerheds-ingeniør på AlienVault.
Den originale Skjulte Rive GitHub projektet blev opgivet for tre år siden, men på det punkt, angribere havde allerede fået fingrene i koden og havde lavet kopier af det, de selv fortsatte med at forbedre og gøre den mere effektiv.
Selv i dag, på trods af noget, af et fald i ransomware, cyber kriminelle er stadig at fifle med den Skjulte Rive kode, en ny version af det, der kaldes Poolezoor opstod i August, viser, hvordan endnu en ondsindet kode, der er udgivet i naturen, det kan blive et problem for de kommende år.
Skjulte Ælde er langt fra det eneste eksempel på, hvordan kriminelle genbruge rådighed udnytter. Den EternalBlue udnytte begyndte livet som en hemmelighed NSA hacking værktøj, før man bliver eksponeret ved hacking gruppen og udgives online. Blot få uger senere EternalBlue havde været brugt til at drive WannaCry ransomware, et stort cyber-angreb, der fandt ned infrastruktur over hele verden.
WannaCry var ikke den eneste angreb, der udnyttede den orm-lignende kapaciteter udnytte til at sprede sig. NotPetya fulgt trop og kriminelle i stigende grad forvandlet til åbent tilgængelige EternalBlue som et middel til at gøre deres malware mere potent. Det har været brugt til at forbedre trojanske heste og stadig bliver brugt til at levere cryptojacking malware.
Som koden bag Skjulte Tåre, EternalBlue blev stillet til rådighed online for free – give cyberkriminelle adgang til kraftfulde værktøjer, oprindeligt udviklet af en nationalstat.
“EternalBlue ville nok være en million dollars at lave, men nu WannaCry og andre hacking angreb er gratis – de er i stand til cyber-våben, som er en smule skræmmende,” siger Doman.
Ud over cyber-kriminelle udnytter lækket nation-stat, der er udviklet redskaber, nation-state hacking-operationer er i stigende grad at frit tilgængelige værktøjer til at støtte spionage og andre cyber-kampagner.
Se også: Cyberkrig: En guide til den skræmmende fremtidige online konflikt
I slutningen af 2015 og begyndelsen af 2016, cyber-angreb mod den ukrainske energinet resulterede i dele af landet, der lider strømafbrydelser i den koldeste og mørkeste del af året. Døbt Sort Energi, kampagnen er stærkt mistænkt for at være det arbejde af russiske stats-sponsoreret hackere.
Phishing-kampagne og custom-bygget malware bærer præg af en meget avanceret trussel, skuespiller, men det tog også fordel af værktøjer til rådighed online.
I dette tilfælde var det et værktøj, frit tilgængeligt på GitHub kaldet GCat bagdør, som gør det muligt for angribere at download eksekverbare filer og udføre shell-kommandoer. Angribere kontrolleret bagdøren via en Gmail-konto, hvilket gør den trafik vanskeligt at opdage på nettet, som angribere gik omkring og forårsager forstyrrelser.
Denne sag viser en af de vigtigste fordele ved at bruge disse værktøjer — de er mere let i stand til at undgå opdagelse, end de fleste former for malware, som i mange tilfælde, selv om de ikke er frigivet til skadelige formål, de er udnyttet til at gøre det-og kan gøre dette uden at udløse påvisning af sikkerhedssoftware.
“Det er i stand til at glide under radaren af netværksadministratorer,” siger Lipovsky “Remote access, remote administrator værktøjer, de er et godt eksempel på ting, der kan være legitimt eller skadeligt, afhængigt af hvem der bruger det.”
En anden formodede russiske hacking drift, Turla, er også kendt for at have anvendt frit tilgængelig software i angreb, der viser, hvordan potent nogle af de værktøjer, der er tilgængelige via det åbne web kan være.
“Når det russiske militær er ved hjælp af gratis ting, ved du hvor godt, at ting er, som de har penge nok til at bygge deres egne værktøjer,” siger Doman.
At være fri, og potentielt meget kraftfuld, er ikke de eneste fordele ved at bruge frit tilgængelig kode for cyber-kriminelle, fordi sourcing fra GitHub tilbyder cyber-kriminelle en anden stor fordel-det gør angriberne vanskeligere at spore.
“Det gør attribution mere vanskeligt, fordi der med skræddersyede, custom-made malware, der ofte kan henføres til en gruppe af angribere. Samtidig med kode, der bruges af mange aktører, er det svært at sige, hvem der bruger det,” siger Lipovsky.
Dette er tilbøjelige til at blive et større problem i fremtiden, da angribere — især APT grupper — ser til at bruge disse taktikker at gøre angreb vanskeligere at opdage og spore.
Værktøjer som Metaspolit og Mimikatz har et lovligt formål, men som kan bruges ondskabsfuldt, mens du bruger den samme kode som andre angribere gør lokalisering af gerningsmanden, meget mere vanskeligt.
“Det er bare til at blive mere og mere udfordrende at opdage disse redskaber, som de er fælles, redigeret og ændret – og det er en stor udfordring at gå fremad,” siger Eitzman.
Det er ikke til at sige, hacking grupper vil vende ryggen til custom-bygget malware, men tilgængeligheden af potente gratis værktøjer, der kan udnyttes af ondsindede formål tilføjer en anden streng, som angriberen bue. “De kriminelle har altid brugt, hvad de kan få deres hænder på,” siger Doman.
Men disse angreb ikke er en bedrager, der gør det muligt for angribere at spille hacking spil på nem-tilstand-dem, der bruger disse værktøjer er blevet opdaget, og i nogle tilfælde har konfronteret konsekvenserne af deres handlinger.
Og det afgørende er, at disse angreb kan blive opdaget og stoppet-eller endda beskyttet mod direkte — hvis de organisationer, som har et stramt greb om, hvad der sker i deres netværk.
“Virksomheder har brug for system administratorer, der kender deres netværk tja, hvem ved, hvad der er, der kører på de maskiner, og kender det netværk godt, og være i stand til at identificere filer og adfærd, som ikke burde være der,” siger Lipovsky.
LÆS MERE OM IT-KRIMINALITET
Denne nye trojan, malware bruger lækket kildekode legit software til at snuse på duOS: Ruslands NotPetya de mest ødelæggende cyberangreb nogensinde [CNET]Password-stjæle, aflytning malware rettet mod ukrainske regeringNæsten ikke målbart, Microsoft Office udnytte installerer malware uden en vedhæftet fil [TechRepublic]Hackere mål Vinter-Ol med nye custom-bygget fileless malware
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0