I framework tipicamente usati dai professionisti dell’IT per svolgere i penetration test stanno diventando molto popolari anche tra gli hacker. Vediamo quali sono e come funzionano.
Negli ultimi anni la diffusione degli attacchi ransomware per mano degli hacker è aumentata in maniera sensibile. Per un’azienda, così come per un privato, oggi è meglio tutelarsi quando si naviga su Internet, perché le minacce si nascondono dietro ogni angolo. Tra quelle che è possibile trovare ci sono appunto gli attacchi ransomware, spesso condotti da hacker malintenzionati che intendono sottrarre dati e informazioni per restituirli (forse) dietro pagamento di un riscatto. Ma come fanno questi hacker a portare a compimento i loro attacchi?
Cosa usano gli hacker per attaccare
Gli hacker che utilizzano i ransomware possono decidere di attaccare davvero in moltissimi modi. Trattandosi di ransomware, ad essere peculiare non è la modalità di attacco (phishing, QRishing, ecc.), bensì il risultato, poiché il soggetto attaccato scopre che i suoi dati sono stati bloccati e non sono più accessibili. Questa grande varietà nelle modalità di attacco e negli strumenti a disposizione degli hacker, li rende molto difficili da contrastare. Recentemente è emersa una nuova tendenza che vede gli hacker utilizzare framework generalmente usati dalle loro controparti etiche per effettuare i penetration test. Vediamo quali sono quindi questi framework e come funzionano.
Tra i framework diventati di recente molto popolari tra gli hacker che attaccano utilizzando i ransomware, ce ne sono tre particolarmente conosciuti e temuti. Questi framework sono Metalsploit, Cobal Strike e Sliver. Vediamo quali sono le loro caratteristiche.
Metalsploit: cos’è, come funziona
Creato inizialmente nel 2003, questo framework si è rivelato molto utile perché permetteva ai tester di rendere più rapide le fasi più lente dei penetration test. Metalsploit si integra molto bene ad esempio con Nmap, un software fatto per trovare delle «porte aperte» o degli indirizzi IP scoperti su un dispositivo bersaglio. Il framework, una volta trovato il punto di accesso, mette a disposizione oltre 1.500 exploit in gradi di aprire quel varco e permettere all’hacker di entrare in quel sistema.
Questo framework è disponibile e scaricabile gratuitamente nella sua versione standard, ma ce ne sono anche altri più performanti a pagamento. Nella versione gratuita è presente anche Zenmap, un port scanner in grado di trovare falle in un sistema IT da cui passare per accedervi; e un compilatore per Ruby, il linguaggio di programmazione per questa versione.
Cobalt Strike: cos’è, come funziona
Cobalt Strike è una raccolta di strumenti (a pagamento) per la simulazione delle minacce informatiche molto apprezzata dai tester. Inizialmente era molto usata soltanto dai tester per condurre attacchi simulati alle aziende per saggiare le loro difese, così che potessero migliorarle. Oggi, invece, è tra gli strumenti preferiti dei criminali. A creare Cobalt Strike è stato Rapahel Mudge, un informatico a capo della Strategic Cyber LLC, l’azienda che ha sviluppato Armitage, ossia l’interfaccia utilizzata prima da Metalsploit e poi da Cobalt Strike (una versione più aggiornata).
Questo framework si basa sul modello C2 (command and control) e permette di installare Beacon, un agente di controllo, nel dispositivo della vittima dell’attacco. Una volta raggiunto questo risultato, l’attaccante può effettuare procedure di esfiltrazione dei dati oppure upload di file corrotti e dannosi capaci di criptare i dati.
Sliver: cos’è, come funziona
Data la grande popolarità raggiunta da Cobalt Strike, molti cyber criminali hanno deciso di iniziare a utilizzare Sliver non solo perché è gratuito, ma anche poiché dispone di strumenti di infiltrazione più moderni e quindi più difficili da contrastare. Anche Sliver (realizzato da BishopFox) in origine era utilizzato soltanto dai penetration tester, tuttavia la sua popolarità ha fatto presto in modo che venisse usato anche da hacker malintenzionati, specialmente coloro che usano il Ransomware-as-a-Service. Sliver è un framework open source, ed è scritto con il linguaggio di programmazione Go (anche noto come GoLang), ossia un linguaggio considerato molto flessibile data la sua compatibilità con MacOS, Microsoft e Linux.
Il fatto che questo framework sia open source rappresenta un grande problema per tutti coloro che vogliono difendersi da esso e da coloro che lo sfruttano, poiché dal momento che è accessibile a chiunque, qualsiasi hacker esperto può entrare al suo interno per apporvi dei miglioramenti e mettere a disposizione degli altri hacker strumenti ancora più letali. Gli ingegneri Microsoft fortunatamente condiviso delle informazioni utili a rilevare se qualcuno sta cercando di introdursi all’interno di un sistema IT usando questo framework, in modo da potersi difendere.
© RIPRODUZIONE RISERVATA