近期,由美國、英國、澳大利亞、加拿大和紐西蘭的情報機構組成的五眼聯盟(Five Eyes)釋出了一份報告,該報告針對全球發生的網路安全事件進行研究之後發現有五款公開的黑客工具被惡意利用地最頻繁,並同時給企業和國家發出警告,提醒做好防範措施。
報告中提到的黑客工具,對於滲透測試人員而言可能不不陌生,然而對於企業安全防禦工作人而言的價值不言而喻。研究旨在讓企業認識到所面臨的威脅,從而更好地準備好防禦措施。這五款工具如下:
- 2.Webshell: China Chopper
- 4.橫向移動工具: PowerShell Empire
- 5.命令和控制混淆及滲透工具: HUC 資料發包器
JBiFrost
JBiFrost 是Adwind RAT的變體,其根源可以追溯到2012年的Frutas RAT。這是一種基於Java的,跨平臺、多功能的工具,能夠對Windows,Linux,MAC OS X和Android等多個系統造成威脅。JBiFrost RAT通常由網路罪犯和低技能威脅參與者使用,但其功能可以很容易地適應國家贊助的威脅參與者使用,向受害者提供惡意RAT,以獲取進一步利用的遠端訪問許可權,或竊取有價值的資訊,如銀行憑證,智慧財產權或PII。
China Chopper
China Chopper是一個公開的webshell工具,自2012年以來一直廣泛使用。五眼聯盟發現威脅參與者已經開始使用China Chopper遠端訪問受到攻擊的Web伺服器,它提供檔案和目錄管理,以及訪問受感染裝置上的虛擬終端等功能。由於China Chopper的大小僅為4 KB,並且具有易於修改的有效負載,因此網路防禦者很難進行檢測和緩解。
Mimikatz
Mimikatz 於2007年開發,主要用於攻擊者收集登入目標Windows計算機的其他使用者的憑據。它通過在名為Local Security Authority Subsystem Service(LSASS)的Windows程式中訪問記憶體中的憑據來實現此目的。雖然它最初並不是一種黑客攻擊工具,但近年來,Mimikatz被很多攻擊者用於惡意目的,可能會嚴重破壞配置不當的網路安全性。
PowerShell Empire
PowerShell Empire是後開發或橫向移動工具的一個例子。它旨在允許攻擊者(或滲透測試人員)在獲得初始訪問許可權後在網路中移動。PowerShell Empire還可用於生成惡意文件和可執行檔案,以便利用社交工程訪問網路。PowerShell Empire在敵對的國家行為者和有組織的犯罪分子中越來越受歡迎。近年來,我們已經看到它在全球範圍內用於各種各樣的網路事件。
HUC資料包傳送器
HUC資料包傳送器(HTran)是一種代理工具,用於攔截和重定向從本地主機到遠端主機的傳輸控制協議(TCP)連線。自2009年以來,該工具已在網際網路上免費提供。在政府和行業目標的攻擊中,經常觀察到HTran的使用。HTran可以將自身注入正在執行的程式並安裝rootkit來隱藏與主機作業系統的網路連線。使用這些功能還可以建立Windows登錄檔項,以確保HTran保持對受害者網路的持久訪問。
這些工具本身常常並非惡意,可由測試人員合法用於漏洞查詢,但也可被惡意用於入侵網路、執行命令並竊取資料。英國國家安全中心(NCSC)表示結合使用這些工具導致更難以檢測。NCSC 表示,“很多工具都是和其它工具結合使用,使得網路防禦人員面臨的挑戰加大,已經發現國家黑客和技能水平不同的犯罪分子利用這些工具。”
NCSC 表示,只需採取一些簡單的措施就能有效抵禦這些攻擊。關鍵的抵禦措施包括多因素認證、網路分割槽、安全監控和打補丁。所有的這些內容都和 NCSC 的核心安全建議指南吻合。
如果想檢視這份報告的詳細資訊以及相應的防禦措施,可以跳轉 US-Cert 檢視。
*參考來源:US-Cert、The Register,轉載請註明來自FreeBuf.COM
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
更多閱讀:
1、網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段
2、廣撒網,多撈魚:當黑客們也不再“安於本分”
3、四大會計事務所之一安永:30%虛擬幣已經失去全部價值
4、蘋果系統遭攻擊 黑客索要17.4萬美元比特幣作為贖金