近期,由美國、英國、澳大利亞、加拿大和新西蘭的情報機構組成的五眼聯盟(Five Eyes)發佈了一份報告,該報告針對全球發生的網絡安全事件進行研究以後發現有五款公開的黑客工具被惡意利用地最頻繁,並同時給企業和國家發出警告,提醒作好防範措施。web
https://zhuanlan.kanxue.com/article-5290.htmshell
報告中提到的黑客工具,對於滲透測試人員而言可能不不陌生,然而對於企業安全防護工做人而言的價值不言而喻。研究旨在讓企業認識到所面臨的威脅,從而更好地準備好防護措施。這五款工具以下:安全
- 1.遠程訪問木馬: JBiFrost
- 2.Webshell: China Chopper
- 3.憑證竊取工具: Mimikatz
- 4.橫向移動工具: PowerShell Empire
- 5.命令和控制混淆及滲透工具: HUC 數據發包器
JBiFrost
JBiFrost 是Adwind RAT的變體,其根源能夠追溯到2012年的Frutas RAT。這是一種基於Java的,跨平臺、多功能的工具,可以對Windows,Linux,MAC OS X和Android等多個系統形成威脅。JBiFrost RAT一般由網絡罪犯和低技能威脅參與者使用,但其功能能夠很容易地適應國家贊助的威脅參與者使用,向受害者提供惡意RAT,以獲取進一步利用的遠程訪問權限,或竊取有價值的信息,如銀行憑證,知識產權或PII。服務器
China Chopper
China Chopper是一個公開的webshell工具,自2012年以來一直普遍使用。五眼聯盟發現威脅參與者已經開始使用China Chopper遠程訪問受到攻擊的Web服務器,它提供文件和目錄管理,以及訪問受感染設備上的虛擬終端等功能。因爲China Chopper的大小僅爲4 KB,而且具備易於修改的有效負載,所以網絡防護者很難進行檢測和緩解。網絡
Mimikatz
Mimikatz 於2007年開發,主要用於攻擊者收集登陸目標Windows計算機的其餘用戶的憑據。它經過在名爲Local Security Authority Subsystem Service(LSASS)的Windows進程中訪問內存中的憑據來實現此目的。雖然它最初並非一種黑客攻擊工具,但近年來,Mimikatz被不少攻擊者用於惡意目的,可能會嚴重破壞配置不當的網絡安全性。工具
PowerShell Empire
PowerShell Empire是後開發或橫向移動工具的一個例子。它旨在容許攻擊者(或滲透測試人員)在得到初始訪問權限後在網絡中移動。PowerShell Empire還可用於生成惡意文檔和可執行文件,以便利用社交工程訪問網絡。PowerShell Empire在敵對的國家行爲者和有組織的犯罪分子中愈來愈受歡迎。近年來,咱們已經看到它在全球範圍內用於各類各樣的網絡事件。測試
HUC數據包發送器
HUC數據包發送器(HTran)是一種代理工具,用於攔截和重定向從本地主機到遠程主機的傳輸控制協議(TCP)鏈接。自2009年以來,該工具已在互聯網上免費提供。在政府和行業目標的攻擊中,常常觀察到HTran的使用。HTran能夠將自身注入正在運行的進程並安裝rootkit來隱藏與主機操做系統的網絡鏈接。使用這些功能還能夠建立Windows註冊表項,以確保HTran保持對受害者網絡的持久訪問。spa
這些工具自己經常並不是惡意,可由測試人員合法用於漏洞查找,但也可被惡意用於入侵網絡、執行命令並竊取數據。英國國家安全中心(NCSC)表示結合使用這些工具致使更難以檢測。NCSC 表示,「不少工具都是和其它工具結合使用,使得網絡防護人員面臨的挑戰加大,已經發現國家黑客和技能水平不一樣的犯罪分子利用這些工具。」操作系統
NCSC 表示,只需採起一些簡單的措施就能有效抵禦這些攻擊。關鍵的抵禦措施包括多因素認證、網絡分區、安全監控和打補丁。全部的這些內容都和 NCSC 的核心安全建議指南吻合。代理