这五款工具被全球黑客广泛使用,中国菜刀入榜

近期,由美国、英国、澳大利亚、加拿大和新西兰的情报机构组成的五眼联盟(Five Eyes)发布了一份报告,该报告针对全球发生的网络安全事件进行研究之后发现有五款公开的黑客工具被恶意利用地最频繁,并同时给企业和国家发出警告,提醒做好防范措施。

报告中提到的黑客工具,对于渗透测试人员而言可能不不陌生,然而对于企业安全防御工作人而言的价值不言而喻。研究旨在让企业认识到所面临的威胁,从而更好地准备好防御措施。这五款工具如下:

1.远程访问木马: JBiFrost 2.Webshell: China Chopper 3.凭证窃取工具: Mimikatz 4.横向移动工具: PowerShell Empire 5.命令和控制混淆及渗透工具: HUC 数据发包器

JBiFrost

JBiFrost 是Adwind RAT的变体,其根源可以追溯到2012年的Frutas RAT。这是一种基于Java的,跨平台、多功能的工具,能够对Windows,Linux,MAC OS X和Android等多个系统造成威胁。JBiFrost RAT通常由网络罪犯和低技能威胁参与者使用,但其功能可以很容易地适应国家赞助的威胁参与者使用,向受害者提供恶意RAT,以获取进一步利用的远程访问权限,或窃取有价值的信息,如银行凭证,知识产权或PII。

China Chopper

China Chopper是一个公开的webshell工具,自2012年以来一直广泛使用。五眼联盟发现威胁参与者已经开始使用China Chopper远程访问受到攻击的Web服务器,它提供文件和目录管理,以及访问受感染设备上的虚拟终端等功能。由于China Chopper的大小仅为4 KB,并且具有易于修改的有效负载,因此网络防御者很难进行检测和缓解。

Mimikatz

Mimikatz 于2007年开发,主要用于攻击者收集登录目标Windows计算机的其他用户的凭据。它通过在名为Local Security Authority Subsystem Service(LSASS)的Windows进程中访问内存中的凭据来实现此目的。虽然它最初并不是一种黑客攻击工具,但近年来,Mimikatz被很多攻击者用于恶意目的,可能会严重破坏配置不当的网络安全性。

PowerShell Empire

PowerShell Empire是后开发或横向移动工具的一个例子。它旨在允许攻击者(或渗透测试人员)在获得初始访问权限后在网络中移动。PowerShell Empire还可用于生成恶意文档和可执行文件,以便利用社交工程访问网络。PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中越来越受欢迎。近年来,我们已经看到它在全球范围内用于各种各样的网络事件。

HUC数据包发送器

HUC数据包发送器(HTran)是一种代理工具,用于拦截和重定向从本地主机到远程主机的传输控制协议(TCP)连接。自2009年以来,该工具已在互联网上免费提供。在政府和行业目标的攻击中,经常观察到HTran的使用。HTran可以将自身注入正在运行的进程并安装rootkit来隐藏与主机操作系统的网络连接。使用这些功能还可以创建Windows注册表项,以确保HTran保持对受害者网络的持久访问。

这些工具本身常常并非恶意,可由测试人员合法用于漏洞查找,但也可被恶意用于入侵网络、执行命令并窃取数据。英国国家安全中心(NCSC)表示结合使用这些工具导致更难以检测。NCSC 表示,“很多工具都是和其它工具结合使用,使得网络防御人员面临的挑战加大,已经发现国家黑客和技能水平不同的犯罪分子利用这些工具。”

NCSC 表示,只需采取一些简单的措施就能有效抵御这些攻击。关键的抵御措施包括多因素认证、网络分区、安全监控和打补丁。所有的这些内容都和 NCSC 的核心安全建议指南吻合。

如果想查看这份报告的详细信息以及相应的防御措施,可以跳转 US-Cert 查看:https://www.us-cert.gov/ncas/alerts/AA18-284A?tdsourcetag=s_pctim_aiomsg

*参考来源:US-Cert、The Register,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-10-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

逃避沙箱并滥用WMI:新型勒索软件PyLocky分析

毫无疑问,在目前的网络威胁领域中,勒索软件仍然扮演着十分重要的角色。实际上,在2018年上半年勒索软件的活动还有所增加,并且相关勒索软件还通过各种升级更新来尝试...

10220
来自专栏黑白安全

渗透测试神器Cobalt Strike

Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,...

21510
来自专栏FreeBuf

使用CommView for WiFi抓取无线报文

无线的使用已经越来越广泛,咖啡厅、图书馆,甚至洗手间都有无线覆盖。GOD!希望各个厂家的无线射频都达标,对人体无害,要不然。。。。 FreeBuf科普:什么是无...

50850
来自专栏黑白安全

新型技术利用 UPnP 协议避免 DDoS 缓解方案

据外媒 15 日报道,美国知名网络安全公司 Imperva 于本周一发布报告称攻击者正在尝试使用 UPnP协议来屏蔽 DDoS 泛洪期间发送的网络数据包源端口,...

8020
来自专栏域名资讯

.com域名和.cn域名的介绍

  .com域名,国际最广泛流行的通用域名格式。国际化公司都会注册。 .com域名;当然也可以选择.net/.org以.com为结尾的国际域名。 例如表示工商企...

74350
来自专栏运维技术迷

将域名从Godaddy转Namesilo

Godaddy,国人称之为狗大爹,世界最大的域名注册商,中国好多个人站长的域名均在此注册。可如今,高昂的费用已经让多少的个人站长和米农伤心欲绝。曾经的曾经已经过...

687130
来自专栏FreeBuf

2015年,基于宏的恶意软件数量再次飙升

今年年初以来,微软观察到使用宏的恶意软件数量迅速增加。宏病毒在多年前曾经非常流行,之后便销声匿迹。如今这种“古老”的攻击方式结合钓鱼邮件、社会工程学进行传播,大...

217100
来自专栏安恒信息

新型恶意勒索软件VirLock

近日,研究人员发现勒索软件家族又添新成员,一个可自我复制的版本VirLock(又称VirRansom)。 VirLock的攻击范围很大,多种类型的文件都受到影响...

31040
来自专栏Debian社区

开源图数据库 Dgraph 完成 300 万融资

据 Dgraph Labs 创始人 Manish Rai Jain 在其宣布 1.0.0 版本正式发布 的 文章 中透漏,他们已完成了由贝恩资本投资公司的 Sa...

17560
来自专栏日志易的专栏

法规解读:什么样的日志审计产品才能达到合规要求?

按照新法规的要求,传统的运维做法及日志分析方式很难满足合规要求,存在众多的弊端与难题,如何高效、高性价比的解决此问题?

48200

扫码关注云+社区

领取腾讯云代金券