Il y a un débat en cours au sein de la communauté du renseignement sur les menaces pour savoir si les outils de test de pénétration open source et disponibles dans le commerce font plus de mal que de bien. Bien qu’ils permettent aux défenseurs de sonder et de tester de manière significative la sécurité d’une organisation, ils sont souvent si bons dans leur travail qu’ils finissent par devenir des éléments de base dans la chaîne de mise à mort de nombreux groupes de cybercriminels.
Prenons une réponse à un incident récent où des chercheurs d’Advanced Intelligence ont récemment pu déterminer la chaîne de destruction exacte utilisée par un groupe de ransomwares Ryuk qui comprend 15 étapes différentes depuis le point d’infection initial jusqu’à la livraison des charges utiles de ransomware sur le réseau d’une victime. Alors que les attaquants utilisent certainement des logiciels malveillants purs, comme BazarBackdoor, BazarLoader et Ryuk, la plupart des étapes intermédiaires de la chaîne de destruction impliquent des outils commerciaux ou open source.
«Le groupe derrière préfère tirer parti des boîtes à outils pentester en favorisant la balise Cobalt Strike comme une charge utile de choix pour la post-exploitation immédiate» ainsi que d’autres outils open source, a écrit Vitali Kremez, président et PDG d’Advanced Intelligence.
Cobalt Strike est une boîte à outils populaire de «logiciel d’émulation de menace» que les équipes rouges peuvent utiliser pour effectuer des reconnaissances, communiquer avec les serveurs de commande et de contrôle et activer les attaques de spearphishing et les fonctions de post-exploitation pendant les tests de pénétration. Dans cette attaque, il est largement utilisé après BazarLoader et BazarBackdoor. Les étapes deux et trois de la chaîne de destruction impliquent l’utilisation de Mimikatz, un outil de collecte de mots de passe et d’informations d’identification open source. La huitième étape implique l’utilisation de LaZagne, un autre outil de récupération de mot de passe open source. D’autres outils open source tels que Powershell et Powersploit sont utilisés, de même que des logiciels commerciaux juridiques et commerciaux comme AdFind, Net View et PSExec.
Rien de tout cela n’est surprenant ou nécessairement unique: Cobalt Strike et Mimikatz en particulier sont largement utilisés dans de nombreuses attaques réussies. Talos Intelligence appelle Cobalt Strike «une boîte à outils prolifique utilisée à de nombreux niveaux d’intrusion» et son utilisation par les acteurs menaçants est «omniprésente». D’autres programmes comme Metasploit permettent même aux pirates informatiques novices de créer et d’automatiser des attaques de niveau professionnel contre des organisations. Le chercheur en sécurité Paul Litvak a en fait cartographié tous les différents groupes d’acteurs de menaces qui utilisent différents outils de sécurité offensifs dans leurs attaques.
Cependant, cela démontre à quel point certains d’entre eux peuvent être adoptés par des acteurs de la menace et intégrés dans un ensemble d’intrusion prêt à l’emploi. Certains ont fait valoir que quelle que soit la valeur qu’ils apportent au travail des équipes rouges internes cherchant à améliorer la posture de sécurité de leur organisation, ils ont également abaissé la barre d’effort collectif pour de nombreux acteurs de la menace.
«Ces outils en eux-mêmes ne sont pas le problème. Leur disponibilité illimitée est un problème », a écrit le chercheur en sécurité Andrew Thompson dans un article de Medium à la fin de l’année dernière. «Lors de la publication de ces outils sur Internet sans restriction, les adversaires reçoivent une capacité brute de crowdsourcing qui, dans la totalité, est soit suffisante pour exécuter leur programme d’exploitation de réseau, soit au minimum le compléter.
