Todo el mundo ama el open source por su seguridad, disponibilidad y transparencia. Por otro lado, cualquier cosa puede ser mal usada.

Hablando en la conferencia Virus Bulletin, los analistas de Intezer Labs hablaron sobre qué herramientas disponibles gratuitamente son las que más a menudo abusan los piratas informáticos. Estas herramientas pueden incluir varias aplicaciones, bibliotecas, exploits, etc. La mayoría de las veces, estamos hablando de exploits de prueba de concepto para vulnerabilidades. En general son publicados por especialistas en seguridad de la información o son utilidades pentester disponibles públicos.

La existencia de tales herramientas se ha considerado durante mucho tiempo un fenómeno muy controvertido en la comunidad de seguridad de la información. Entonces, por un lado, estas herramientas pueden ayudar a los expertos en seguridad de la información a preparar sistemas y redes, protegiéndolos de posibles ataques. Por otro lado, ayudan a los atacantes a reducir el costo y el tiempo de desarrollo de sus propias herramientas. También les permiten disfrazar su actividad entre pruebas y pentests legítimos.

Los expertos de Intezer Labs dicen que, por lo general, los debates sobre este tema se basan en la experiencia personal y las creencias de los participantes. Por desgracia no en datos reales. La compañía decidió tomar el camino inverso y recopiló datos sobre 129 herramientas “ofensivas” de código abierto. Comparó estos datos con muestras de malware e informes de colegas para averiguar qué tan extendido está el uso de tales soluciones. Los resultados se combinaron en este mapa interactivo.

Open source es peligroso?

Al final resultó que, las soluciones de open source y solo disponibles públicamente son utilizadas activamente por atacantes de todo tipo. Desde conocidos grupos gubernamentales de hackers hasta pequeños estafadores. Muchas herramientas y bibliotecas desarrolladas originalmente por investigadores de ciberseguridad ahora se utilizan de forma rutinaria para el ciberdelito.

“Encontramos las bibliotecas más populares para inyección de memoria y herramientas RAT. Por lo tanto, la herramienta más popular para la inyección de memoria es la biblioteca ReflectiveDllInjection, seguida de la biblioteca  MemoryModule. Empire, Powersploit y Quasar resultaron ser las más populares entre las herramientas RAT.”, dijo Intezer Labs.

También se informa que Mimikatz se usa con mayor frecuencia para el movimiento lateral. La biblioteca UACME generalmente se usa para omitir UAC. Dicho esto, los grupos de hackers asiáticos tienden a preferir Win7Elevate, probablemente debido a la gran cantidad de instalaciones de Windows 7 en la región.

Básicamente, solo las herramientas de robo de credenciales no son populares entre los delincuentes. Los investigadores creen que la razón es la disponibilidad de soluciones similares con una funcionalidad más amplia en el mercado negro y foros oscuros.

Además, Intezer Labs notó que los delincuentes rara vez usan herramientas que implementan funciones complejas que requieren un conocimiento profundo para su explotación (incluso si sus beneficios son obvios). Por lo tanto, la compañía cree que los expertos en ciberseguridad que planean publicar herramientas de piratería “ofensivas” deberían tener esto en cuenta y complicar deliberadamente su código para hacerlo más difícil para los atacantes.