No es extraño que alguien pregunte por Metasploit en un grupo de hacking y se generen pequeñas tormentas entre los que ven esta herramienta veterana limitada para su uso y los defensores del framework. ¿El motivo? Metasploit es una de los frameworks ofensivos que ‘lo dan todo hecho’ (simplifica el reconocimiento, explotación y post-explotación), y si quieres algo fino mejor lo haces tú mismo. ¿Es siempre así? ¿los atacantes reales han dejado de lado estas herramientas reconocibles y ampliamente usadas?

El último informe de Recorded Future sobre las infraestructuras de los adversarios viene a responder a esta pregunta con cifras concretas.


De hecho, Cobalt Strike, Metasploit y PupyRat son las tres herramientas que más se han empleado por servidores de comando y control (command-and-control, C2, C&C) conforme el informe, que habla de familias de malware en base a su infraestructura de C2.

La siguiente tabla recoge un pequeño resumen de las cifras del estudio (número de servidores C2) y algo más de información sobre estas herramientas. Los investigadores aseguran que 393 de los servidores que empleaban Cobalt Strike estaban fuera del radar de los mecanismos comunes de detección.

Herramienta Creación Open source #Servidores C2 2020 Grupos
CobaltStrike 2012 No. Filtrado en noviembre. 1441 APT41, Mustang Panda, Ocean Lotus, FIN7
Metasploit 2003 1122 JointWorm (EVILNUM), Turla
PupyRat 2018 454 APT33, COBALT ILLUSION

Resumen de características de las herramientas y datos del informeComo punto positivo, también se indica que prácticamente la totalidad de las herramientas detectadas han podido vincularse a los actores APT. Una tabla completa sobre las herramientas y su vinculación con grupos APTs puede verse en el informe de Recorded Future. Entre las herramientas también identificamos Armitage, que proporciona un interfaz gráfico sobre Metasploit, haciendo aún más cómodo su uso y permitiendo que los atacantes inviertan su tiempo y recursos en crear código dañino.

El informe va más allá y muestra también un listado de los proveedores de hosting más empleados por los servidores C2. El proveedor que aloja el 3.8% de los servidores C2 es Amazon.com, Inc., la mayoría de la familia Cobalt Strike. Le sigue Digital Ocean, siendo en dicho caso Metasploit la familia más usada.
Tal vez la conclusión más inmediata sea la que ya de por sí indican en el estudio: las herramientas de detección se enfrentan también a este software que pasa en muchos casos desapercibido. Otra conclusión es tal vez más general, y radica en la importancia de pensar en lo práctico que resulta partir de software que ya ofrece funcionalidad básica muy probada, para desarrollar componentes nuevos.

Más información:

Adversary Infrastructure Report 2020: A Defender’s view. Recorded Future, Enero 2021. https://www.recordedfuture.com/2020-adversary-infrastructure-report/

Malicious software infrastructure easier to get and deploy than ever
. Becky Bracken. ThreatPost, 2021-01-08. https://threatpost.com/malicious-software-infrastructure-easier-deploy/162913/

Allegued source code of Cobalt Strike toolkit shared online. Lawrence Abrams. Bleeping Computer. 2020-11-11.https://www.bleepingcomputer.com/new...shared-online/