Herramientas disponibles publicamente utilizadas por los hackers
Los delincuentes cibernéticos están utilizando varias herramientas maliciosas para los ataques cibernéticos en función de la fuerza del objetivo para infiltrarse en los datos confidenciales y, más a menudo, en la actualidad las herramientas de pirateo disponibles para uso público son utilizadas principalmente por actores de amenazas para varios ataques en todo el mundo
En el mundo cibernético, las herramientas de piratería están disponibles abiertamente con varias funcionalidades y de forma gratuita a las que puede acceder cualquiera de los delincuentes cibernéticos y obtenerlas de diversos foros de piratería y del mercado web oscuro.
Además, estas herramientas se han utilizado para comprometer la información en una amplia gama de sectores críticos , incluidos la salud, las finanzas, la defensa del gobierno y muchos otros sectores.
Día a día, los actores de amenazas aprenden nuevas tácticas y técnicas para encontrar nuevas formas y desarrollan nuevas herramientas sofisticadas para mantener su persistencia y evadir los sistemas de seguridad.
Aquí podemos ver las 5 herramientas de piratería disponibles más públicamente disponibles por los actores de amenazas y también puede aprender el mejor curso de piratería ética en línea para mejorar sus habilidades y mantenerlo actualizado.
RAT Trojan de acceso remoto {JBiFrost}
El troyano de acceso remoto proporciona acceso a los delincuentes cibernéticos que pueden realizar diversas actividades maliciosas desde el sistema de destino.
Especialmente el troyano de acceso remoto JBiFrost (RAT), que es una de las poderosas variantes de Adwind RAT que le da acceso de raíz al atacante.
Además, contiene muchas funciones y se utiliza para instalar puertas traseras y registradores de teclas, realizar capturas de pantalla y exfiltrar datos.
Para evitar el análisis forense, deshabilita las medidas de seguridad, como el Administrador de tareas, y las herramientas de análisis de red, como Wireshark, en el sistema de la víctima.
Capacidades de RAT Trojan de acceso remoto
JBiFrost RAT está basado en Java, multiplataforma y multifuncional. Representa una amenaza para varios sistemas operativos diferentes, incluidos Windows, Linux, MAC OS X y Android.
Sobre la base de los registros anteriores, exfiltró la propiedad intelectual, las credenciales bancarias y la información de identificación personal (PII). Las máquinas infectadas con JBiFrost también se pueden usar en botnets para llevar a cabo ataques de Denegación de Servicio Distribuido (DDoS).
Desde principios de 2018, hemos observado un aumento en el uso de JBiFrost en ataques dirigidos contra propietarios de infraestructura nacional críticos y sus operadores de cadena de suministro.
Ladrones de credenciales { Mimikatz }
El objetivo principal de esta herramienta es que los atacantes recopilen las credenciales de otros usuarios que hayan iniciado sesión en una máquina Windows seleccionada.
Mimikatz es una de esta categoría al acceder a las credenciales en la memoria, dentro de un proceso de Windows llamado Servicio de Subsistema de Autoridad de Seguridad Local.
Estas credenciales, ya sea de texto sin formato o en forma de hash, se pueden reutilizar para dar acceso a otras máquinas en una red.
Mimikatz ha sido utilizado por múltiples actores con fines maliciosos, como el hecho de que un actor anfitrión y de amenazas desee moverse a través de la red interna.
El código fuente de mimikarz está disponible públicamente y cualquiera puede compilar y agregar su propio futuro y desarrollar nuevos complementos personalizados y funcionalidad adicional.
Muchas características de Mimikatz se pueden automatizar con scripts, como PowerShell, que permiten a un actor explotar y atravesar rápidamente una red comprometida.
Web shells: { China Chopper }
China Chopper es una de las poderosas herramientas de piratería disponibles al público y el shell web bien documentado que está disponible públicamente para su uso posterior a la explotación después de comprometer al host seleccionado.
Los delincuentes cibernéticos lo utilizan para cargar los scripts maliciosos que se cargan en un host de destino después de un compromiso inicial y otorgan a un actor la capacidad administrativa remota.
El shell web de China Chopper es ampliamente utilizado por actores de desempeño hostil para acceder de forma remota a servidores web comprometidos, donde proporciona administración de documentos y registros, junto con acceso a un terminal virtual en el dispositivo comprometido.
Un atributo de China Chopper es que cada acción genera un HTTP POST. Esto puede ser ruidoso y fácil de detectar si lo investiga un defensor de la red.
Si bien la carga del servidor web shell de China Chopper es de texto simple, los comandos emitidos por el cliente están codificados en Base64, aunque esto es fácilmente decodificable.
Marcos de movimientos laterales: { PowerShell Empire }
PowerShell Empire es una explotación publicada Herramientas de piratería disponibles al público que ayudan a los atacantes a moverse y obtener acceso después del compromiso inicial.
Empire también se puede utilizar para generar documentos maliciosos y ejecutables para el acceso de ingeniería social a las redes.
El marco PowerShell Empire (Empire) se diseñó como una herramienta de prueba de penetración legítima en 2015. Empire actúa como un marco para la explotación continua una vez que un atacante obtiene acceso a un sistema.
Los métodos de explotación inicial varían según los compromisos, y los actores pueden configurar Empire Framework de forma única para cada escenario y objetivo.
Empire permite que un atacante realice una serie de acciones en la máquina de la víctima e implementa la capacidad de ejecutar scripts de PowerShell sin necesidad de que 'powershell.exe' esté presente en el sistema. Sus comunicaciones están encriptadas y su arquitectura flexible.
Herramientas de ofuscación C2: { HTran }
Las herramientas de ofuscación son una de las más importantes para ocultar la identidad del atacante y evadir la detección y existen algunas herramientas de privacidad como TOR, o herramientas más específicas para ofuscar su ubicación.
“HUC Packet Transmitter (HTran) es una herramienta de proxy, utilizada para interceptar y redirigir las conexiones del Protocolo de Control de Transmisión (TCP) del host local a un host remoto. Esto hace posible ofuscar las comunicaciones de un atacante con las redes de víctimas ”.
Se ha observado una amplia gama de actores cibernéticos utilizando HTran y otras herramientas de proxy de conexión para:
Evadir los sistemas de intrusión y detección en una red, combina con el tráfico común o aproveche las relaciones de confianza de dominio para omitir los controles de seguridad Ofuscar u ocultar la infraestructura de C2 o las comunicaciones cree una infraestructura C2 de igual a igual o mallada para evadir la detección y proporcionar conexiones resistentes a la infraestructura