调查研究表明，那些非常好用的红队工具正在被滥用于日益增长的攻击中，因为越来越多的黑客开始寻求非技术性和暴力破解方法。

近日，安全研究人员观察到一个有意思的现象，包括Cobalt Strike、Metasploit等深受红队人员喜爱的安全工具，正在出现新的变种并且成为攻击者手中的利器。威胁狩猎公司Elastic发布报告称，上述两种传统渗透测试工具已经成为黑客的必备武器，2024年接近一半的恶意活动中都发现了它们的身影。

Elastic安全实验室称，和2023年相比，2024年恶意软件家族与攻击性安全工具（OSTs）联系更加紧密，在所观察到的恶意软件中，Cobalt Strike、Metasploit、Sliver、DonutLoader、Meterpreter占比高达66%。其中的原因是，攻击者入侵策略的转变，从最开始的“绕过安全防御”转为“直接获取访问权限”。

防守方的利器也是攻击者手中的利器

Cobalt Strike（27%）和Metasploit（18%）是Elastic研究中观察到的两个最常见的OSTs。其他此类工具包括Silver（9%）、DonutLoader（7%）和Meterpreter（5%）。

研究人员指出，使用专门设计用来识别企业环境中漏洞的工具，可能会为攻击者带来显著的优势。此外这类安全工具的开源将会直接增加企业安全所面临的风险，因为开源会让攻击者获取工具的途径更简单、直接。

Elastic安全实验室的主任Devon Kerr表示，Cobalt Strike和Metasploit在恶意活动中已经存在相当长一段时间，而Metasploit、Silver等是开源安全工具，在2024年的恶意活动中表现非常突出，并且出现了新的变种。

Kerr进一步解释说，这些工具对技术能力有限的黑客特别有吸引力，借助这些工具的强大能力可大大提高他们入侵企业的成功率。

报告数据显示，由于操作系统的广泛可用性，大多数恶意软件被部署在Windows（66%）系统上，其次是Linux主机（32%）。伪装成合法软件的恶意软件（特洛伊木马）是观察到最多的（82%）恶意软件类别。

安全专家指出，黑客越来越喜欢使用红队安全工具，其原因在于，这些武器库集成了多种攻击工具和技术，能够提供自动化、高效的攻击手段，并且随着攻击手法的不断进化和多样化，红队武器库的重要性和吸引力也随之增加。

随着红队人员对开源工具、泄漏工具、定制工具等进行整合，构建个人武器库，并通过武器库快速、高效地对各类0day、Nday漏洞进行探测利用。未来，将会有越来越多的黑客开始抄红队人员的作业，特别是群体数量却十分庞大但个人技术能力有限的黑客人员，它们将利用红队工具来降低每次网络攻击的门槛和成本，从而实现利益最大化。

参考来源：https://www.csoonline.com/article/3609550/weaponized-pen-testers-are-becoming-a-new-hacker-staple.html