Выступая на конференции Virus Bulletin, аналитики компании Intezer Labs рассказали, какими свободно доступными инструментами (в том числе с открытым исходным кодом) чаще всего злоупотребляют хакеры. К таким инструментам могут относиться различные приложения, библиотеки, эксплоиты и так далее. Чаще всего речь идет о proof-of-concept эксплоитах для уязвимостей, которые публикуют ИБ-специалисты, или свободно доступных пентестерских утилитах. Существование подобных инструментов давно считается весьма противоречивым явлением в ИБ-сообществе. Так, с одной стороны, такие инструменты могут помочь ИБ-экспертам подготовить системы и сети, защитив их от потенциальных атак. С другой стороны, они помогают злоумышленникам сократить расходы и время на разработку собственных инструментов, а также позволяют им замаскировать свою активность среди легитимных тестов и пентестов. Специалисты Intezer Labs говорят, что обычно споры на эту тему ведутся основываясь на личном опыте и убеждениях участников дискуссии, а не на реальных данных. В компании решили пойти другим путем и собрали данные о 129 опенсорсных «наступательным» инструментах, а затем сопоставили эти данные с образцами малвари и отчетами коллег, чтобы выяснить, насколько широко распространено использование подобных решений серди хакеров. Полученные результаты были объединены на этой интерактивной карте. Как оказалось, опенсорсные и просто публично доступные решения активно применяются злоумышленники всех мастей, от известных правительственных хак-групп до мелких мошенников. Многие инструменты и библиотеки, изначально разработанные ИБ-исследователями, теперь регулярно используются для киберпреступлений. «Мы обнаружили, что наиболее популярны библиотеки для memory injection и RAT-инструменты. Так, самым популярным инструментом для memory injection стала библиотека ReflectiveDllInjection, за которой следует библиотека MemoryModule. Среди RAT-инструментов наиболее популярны оказались Empire, Powersploit и Quasar», — рассказали в Intezer Labs. Также сообщается, что для бокового перемещения чаще всего используется Mimikatz, а для обхода UAC обычно применяют библиотеку UACME. При этом азиатские хакерские группы чаще предпочитают Win7Elevate , скорее всего, в силу большого количества установок Windows 7 в регионе. В сущности, популярностью у преступников не пользуются лишь инструменты для кражи учетных данных. Исследователи считают, что причина — доступность на черном рынке и хакерских форумах аналогичных решений с более широкой функциональностью. Кроме того в Intezer Labs заметили, что преступники редко используют инструменты, в которых реализованы сложные функции, требующие для эксплуатации глубокого понимания (даже если их преимущества очевидны). Поэтому в компании считают, что ИБ-экспертам, которые планируют публиковать «наступательные» хакерские инструменты, стоит помнить и об этом и намеренно усложнять свой код, чтобы злоумышленникам было труднее.