Στον τομέα της ασφάλειας στον κυβερνοχώρο, ο όρος OST αναφέρεται σε εφαρμογές λογισμικού, βιβλιοθήκες και εκμεταλλεύσεις που διαθέτουν δυνατότητες εισβολής και έχουν κυκλοφορήσει είτε ως δωρεάν λήψεις είτε με άδεια ανοιχτού κώδικα.
Τα OST projects συνήθως κυκλοφορούν για να παρέχουν ένα proof-of-concept exploit για μια νέα ευπάθεια, για να επιδείξουν μια νέα (ή παλιά) τεχνική hacking ή ως βοηθητικά προγράμματα penetration testing που κοινοποιούνται στην κοινότητα.
Σήμερα, το OST είναι ένα από τα πιο αμφιλεγόμενα θέματα στην κοινότητα της ασφάλειας πληροφοριών (infosec).
Από τη μία πλευρά, έχετε τους ανθρώπους που είναι υπέρ της κυκλοφορίας τέτοιων εργαλείων, υποστηρίζοντας ότι μπορούν να βοηθήσουν τους υπερασπιστές να μάθουν και να προετοιμάσουν τα συστήματα και τα δίκτυα για μελλοντικές επιθέσεις.
Από την αντίθετη πλευρά, έχετε αυτούς που λένε ότι τα OST projects βοηθούν τους επιτιθέμενους να μειώσουν το κόστος της ανάπτυξης των δικών τους εργαλείων και της απόκρυψης των δραστηριοτήτων τους.
Ένας διαδραστικός χάρτης για χρήση OST
Αυτές οι συζητήσεις γίνονται για περισσότερο από μια δεκαετία. Ωστόσο, βασίζονταν πάντα σε προσωπικές εμπειρίες και πεποιθήσεις, και ποτέ σε πραγματικά δεδομένα.
Αυτό προσπάθησε να αναφέρει ο Paul Litvak, ερευνητής ασφαλείας της εταιρείας ασφάλειας στον κυβερνοχώρο Intezer Labs, νωρίτερα αυτό το μήνα, σε μια ομιλία στο συνέδριο ασφαλείας του Virus Bulletin.
Η Litvak συγκέντρωσε δεδομένα για 129 εργαλεία hacking ανοιχτού κώδικα και πραγματοποίησε αναζήτηση μέσω δειγμάτων κακόβουλου λογισμικού και αναφορών ασφάλειας στον κυβερνοχώρο για να ανακαλύψει πόσο διαδεδομένη ήταν η υιοθέτηση των OST projects στις ομάδες hacking – όπως συμμορίες κακόβουλου λογισμικού χαμηλού επιπέδου, ομάδες οικονομικών εγκλημάτων και ακόμη και ομάδες APT που χρηματοδοτούνται από τα κράτη.
Τα αποτελέσματα συγκεντρώθηκαν σε αυτόν τον διαδραστικό χάρτη.
Τα πιο δημοφιλή OST
Ο Litvak διαπίστωσε ότι τα OST υιοθετούνται ευρέως σε ολόκληρο το οικοσύστημα των εγκλημάτων στον κυβερνοχώρο. Από διάσημες ομάδες όπως η DarkHotel έως τις επιχειρήσεις κυβερνοεγκλημάτων όπως το TrickBot, πολλές ομάδες χρησιμοποίησαν εργαλεία ή βιβλιοθήκες που είχαν αρχικά αναπτυχθεί από ερευνητές ασφαλείας, αλλά τώρα χρησιμοποιούνται τακτικά για τα εγκλήματα στον κυβερνοχώρο.
“Βρήκαμε [ότι] τα πιο συχνά υιοθετούμενα projects ήταν memory injection libraries και εργαλεία RAT“, δήλωσε ο Litvak.
“Το πιο δημοφιλές εργαλείο memory injection ήταν η βιβλιοθήκη ReflectiveDllInjection, ακολουθούμενη από τη βιβλιοθήκη MemoryModule. Στα RATs [εργαλεία απομακρυσμένης πρόσβασης], τα Empire, Powersploit και Quasar ήταν τα κορυφαία projects.” Στην κατηγορία της πλευρικής κίνησης κυριαρχούσε το Mimikatz.
