Il panorama delle minacce è sempre più interessato a soluzioni Open Source per risolvere le fasi di exploitation, C2 e post-exploitation. Sono fasi critiche e complesse, che consumano molte risorse per la loro costruzione e mantenimento, umane ed economiche. Le soluzioni più o meno commerciali o più o meno “legali” (come Metasploit e Cobalt Strike, ufficialmente venduti per realizzare “simulazioni di attacco”) hanno fatto e fanno il loro dovere per molti agenti di minaccia al pari degli ethical hacker che intendono invece “realmente simulare”. 

L’emergere di pacchetti software Open Source efficaci abbatte notevolmente questo consumo di risorse, e diviene un osservato speciale, anzi, una vera e propria miniera d’oro per gli agenti di minaccia. 

Differenti analisti (tra cui l’azienda di sicurezza informatica Cybereason di Boston, con sedi anche a Londra, Tokyo e Tel Aviv, e la più nota Qualys) stanno tenendo sotto controllo questo fenomeno. 

In particolare l’attenzione si sta focalizzando su due particolari framework Open Source, dedicati proprio alle fasi di cui sopra: Empire e Sliver. 

Empire nasce nel 2015 da un gruppo di ricercatori sotto differenti pseudonimi all’interno di un progetto GitHub denominato “EmpireProject”. Sviluppato in PowerShell2.0 per obiettivi Windows e Python per obiettivi Linux/macOS, è la fusione di precedenti progetti denominati “PowerShell Empire” e “Python EmPyre”. Consente la gestione di accessi remoti (RAT - Remote Access Tool) e l'esecuzione di attacchi di post-compromissione (dal semplice keylogger a Mimikatz, il tool di Benjamin Delpy in grado di estrarre informazioni di autenticazione direttamente dalla memoria dei processi Windows). Le capacità di espansione di Empire nella fase di post-exploitation è impressionante: Qualys ha pertanto dichiarato che "questo lo ha portato a diventare un frequente toolkit preferito di diversi avversari." 

L’utilizzo di Empire è stato osservato da FireEye nel 2027 contro obiettivi in Europa dell’est e Asia, attacchi attribuibili ai gruppi APT28 (Sofacy) o APT29 (Cozy Bear), entrambi attribuiti alla Russia. 

Un altro strumento Open Source in rapida crescita nel mondo della minaccia è Sliver, sviluppato dalla società di sicurezza informatica BishopFox, Tempe (Arizona) . Anche questo framework si occupa di post-exploitation ed è multipiattaforma grazie al suo impianto basato su linguaggio di Google Golang. È capace di generare codice dinamicamente, eseguire payload in memoria o iniettare processi: questo lo ha reso molto appetibile per quegli agenti di minaccia che abbiamo già ottenuto un punto di appoggio iniziale in una fase di penetrazione. Quindi si tratta di uno strumento di secondo stadio che si appoggia ad un Sliver C2 per costituire una sessione di shell remota sull’obiettivo. 

L’utilizzo di Sliver è stato recentemente osservato da parte del gruppo di minaccia APT29 (Cozy Bear), da parte del gruppo Shathak (noto come TA551) e da parte del gruppo Exotic Lily (noto anche come Projector Libra). 

Sarà opportuno anche per gli Ethical Hacker orientarsi verso questi framework per provare le vie battute dagli agenti di minaccia e comprometterne così l’efficacia addestrando per tempo la difesa. 

Tweet