安全工具滥用现象加剧，攻击者转向非技术性和暴力破解方式

关键要点

• 流行的渗透测试工具如 Cobalt Strike 和 Metasploit 被恶意使用，导致 malware 活动显著增加。
• 2024 年，几乎一半的恶意软件活动与这些工具相关联。
• 企业在云环境中的安全配置普遍不合规，增加了安全风险。
• 攻击者正逐渐转向直接获取凭证，而不是继续躲避防御。


恶意使用流行的红队工具，例如 Cobalt Strike 和 Metasploit，正在造成严重干扰，已成为恶意软件活动中的主导策略。

根据安全猎头公司 Elastic的研究，这两种传统的 被武器化，几乎占据了 2024年所有恶意软件活动的一半。

“我们观察到的最常见恶意软件家族主要与攻击性安全工具 (OSTs) 相关联，与去年相比有了显著增加，” Elastic Security Labs 的研究人员在报告中表示。“Cobalt Strike、Metasploit、Silver、DONUTLOADER 和 Meterpreter 占去年所有恶意软件的约三分之二。”

此外，Elastic 研究的其他重要发现还包括企业在云环境中的错误配置泛滥，导致攻击活动增加，并且攻击者开始从防御规避转向直接凭证访问。

有效的防御是最好的进攻

在 Elastic 的研究中，Cobalt Strike (27%) 和 Metasploit (18%) 是观察到的两种最常见的 OST。其他工具还包括 Silver (9%)、DonutLoader (7%) 和 Meterpreter (5%)。

研究人员指出，能够使用专门识别企业环境中漏洞的工具对于攻击者来说具有显著的优势。此外，将此类工具开源可能会加剧企业安全团队的挑战，因为这将增加其被恶意行为者获取的机会。

“Cobalt Strike 和 Metasploit 在威胁活动中已经发挥了相当长一段时间的作用，Metasploit 是开源的，” Elastic Security Labs 的主任 Devon Kerr 表示。“不过，我们看到一些新型开源恶意软件逐渐浮出水面，特别是 Silver 今年表现得尤为突出。”

Kerr进一步解释，这些工具特别吸引技术能力有限的攻击者。“他们可以直接部署这些工具，在某些环境中，它们会自动运行，而在其他环境中，经过一些调整也能够成功，”Kerr说。

此外，这还使得准确归属这些恶意活动的来源变得复杂。

统计数据总结

根据研究，大部分恶意软件在 Windows 系统上被部署（66%），而 Linux主机占32%。与合法软件伪装的恶意软件（木马）是观察到的最常见恶意软件类型，占比达到82%。

企业未能尽职调查

大量使用流行云环境的企业未能遵循 CIS 安全配置指南。AWS、Google Cloud 和 Microsoft 用户的整体安全状态评分分别为 57、47和 45（满分100）。

“通过分析 AWS 的失败状态检查，我们观察到所有失败的状态检查中，有30%与 S3 相关，”研究人员表示，并补充道，失败的状态检查是指企业未能满足规定的安全状态。网络 (23%) 和身份与访问管理 IAM (15.5%) 也是 AWS 的薄弱领域。

对于 Microsoft Azure 用户来说，存储账户 (47%) 和网络 (15%) 是最令人担忧的领域，因为在这些领域的状态检查失败比例最高。报告指出，Google Cloud 用户也有明显的 BigQuery (44%)、虚拟机 (29%) 和网络 (15%) 工作流漏洞。

研究中的