调查研究表明，菜鸟那些非常好用的黑客红队红队工具正在被滥用于日益增长的攻击中，因为越来越多的始抄黑客开始寻求非技术性和暴力破解方法。

近日 ，菜鸟安全研究人员观察到一个有意思的黑客红队现象
，包括Cobalt Strike、始抄Metasploit等深受红队人员喜爱的菜鸟安全工具 ，正在出现新的黑客红队变种并且成为攻击者手中的利器。威胁狩猎公司Elastic发布报告称，始抄上述两种传统渗透测试工具已经成为黑客的模板下载菜鸟必备武器
，2024年接近一半的黑客红队恶意活动中都发现了它们的身影 。

Elastic安全实验室称，始抄和2023年相比 ，菜鸟2024年恶意软件家族与攻击性安全工具（OSTs）联系更加紧密，黑客红队在所观察到的始抄恶意软件中，Cobalt Strike、Metasploit、Sliver、DonutLoader 、Meterpreter占比高达66% 。其中的原因是香港云服务器 ，攻击者入侵策略的转变，从最开始的“绕过安全防御”转为“直接获取访问权限”。

防守方的利器也是攻击者手中的利器

Cobalt Strike（27%）和Metasploit（18%）是Elastic研究中观察到的两个最常见的OSTs。其他此类工具包括Silver（9%）、DonutLoader（7%）和Meterpreter（5%）。

研究人员指出，使用专门设计用来识别企业环境中漏洞的免费模板工具，可能会为攻击者带来显著的优势。此外这类安全工具的开源将会直接增加企业安全所面临的风险 ，因为开源会让攻击者获取工具的途径更简单、直接。

Elastic安全实验室的主任Devon Kerr表示  ，Cobalt Strike和Metasploit在恶意活动中已经存在相当长一段时间，而Metasploit、Silver等是开源安全工具
，在2024年的服务器租用恶意活动中表现非常突出，并且出现了新的变种。

Kerr进一步解释说 ，这些工具对技术能力有限的黑客特别有吸引力
，借助这些工具的强大能力可大大提高他们入侵企业的成功率 。

报告数据显示 ，由于操作系统的广泛可用性 ，大多数恶意软件被部署在Windows（66%）系统上
，其次是Linux主机（32%） 。伪装成合法软件的源码库恶意软件（特洛伊木马）是观察到最多的（82%）恶意软件类别。

安全专家指出，黑客越来越喜欢使用红队安全工具，其原因在于
，这些武器库集成了多种攻击工具和技术，能够提供自动化
、高效的攻击手段，并且随着攻击手法的不断进化和多样化 
，红队武器库的重要性和吸引力也随之增加。

随着红队人员对开源工具、泄漏工具、建站模板定制工具等进行整合 ，构建个人武器库，并通过武器库快速、高效地对各类0day 、Nday漏洞进行探测利用 。未来 ，将会有越来越多的黑客开始抄红队人员的作业 ，特别是群体数量却十分庞大但个人技术能力有限的黑客人员
，它们将利用红队工具来降低每次网络攻击的门槛和成本 
，从而实现利益最大化。

参考来源：https://www.csoonline.com/article/3609550/weaponized-pen-testers-are-becoming-a-new-hacker-staple.html