您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

5种最常用的黑客工具,以及如何防御

时间:2019-05-13 10:16:36  来源:  作者:

近日,英国国家网络安全中心(NCSC)在其与“五眼”情报合作伙伴(澳大利亚、加拿大、新西兰和美国)的联合报告中,公布了最常用和公开可用的黑客工具及技术清单。

5种最常用的黑客工具,以及如何防御

 

据了解,五眼(Five Eyes),是指二战后英美多项秘密协议催生的多国监听组织“UKUSA”。该组织由美国、英国、澳大利亚、加拿大和新西兰的情报机构组成。这五个国家组成的情报间谍联盟内部实现互联互通情报信息,窃取来的商业数据在这些国家的政府部门和公司企业之间共享。

该联合报告的根本目标是帮助网络维护者和系统管理员更好地组织其工作。此外,该报告还提供了关于限制这些工具的有效性,以及检测其在网络上的使用的建议。

“五眼”Top5:使用最广泛的黑客工具

该报告主要涵盖了五大类别,包括远程访问木马(RAT)、web shells、凭证窃取程序、横向移动框架以及C2混淆器。

并且,它主要聚焦JBiFrost、China Chopper、Mimikatz、PowerShell Empire以及HTran这5款黑客工具。

该报告重申了对基本安全卫生的需求,强调了针对受损系统的入侵活动通常会利用一些常见的安全漏洞,例如未修补的软件漏洞等等。下述这些工具一旦实现入侵就会发挥作用,允许攻击者在受害者的系统内进一步实现其恶意企图。

1. JBiFrost远程访问木马(RAT)

木马(Trojan)这个词源自于经典的特洛伊战争故事,一群希腊士兵藏在一个巨大的木马中,并进入特洛伊城,然后跳出来大肆攻击敌人。而在计算机世界里,木马是种恶意软件,通过电子邮件或恶意网页偷偷进入并安装在你的计算机上。一旦进入后,恶意软件就可以做各种坏事了。

有些木马程序被称为远程访问木马,被设计用于远程操纵用户的计算机,让黑客可以完全控制。有些则可能有不同目的,例如窃取个人信息,侧录键盘,甚至将受害者计算机作为僵尸网络的一部分。

英国国家网络安全中心(NCSC)表示,虽然有大量的RAT活跃于世,但是JBiFrost开始越来越多地被用于针对关键国家基础设施所有者及其供应链运营商的针对性攻击活动之中。

据悉,JBiFrost RAT是一款基于JAVA的、跨平台且多功能的远程访问木马。它可以对多种不同的操作系统构成威胁,具体包括windowslinuxmac OS X以及Android。JBiFrost允许恶意行为者在网络上横向移动,或安装其他恶意软件。它主要通过网络钓鱼电子邮件作为附件进行传播。

感染迹象包括:

  • 无法以安全模式重新启动计算机;
  • 无法打开Windows注册表编辑器或任务管理;
  • 磁盘活动和/或网络流量显着增加;
  • 尝试连接已知的恶意IP地址;
  • 使用模糊或随机名称创建新文件和目录;

防御建议

NCSC表示,定期修补和更新补丁程序,以及使用现代防病毒程序可以阻止大多数变种。组织还应该针对重要网络资产实施额外的防病毒检测。此外,培训用户和企业员工的网络钓鱼意识也至关重要。

2. 中国菜刀(China Chopper)

顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。“webshell”常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。“中国菜刀”就是一种应用非常广的webshell,其大小仅有4kb。

一旦设备遭到入侵,“中国菜刀”就可以使用文件检索工具“wget”将文件从Inte.NET下载到目标,并编辑、删除、复制、重命名以及更改现有文件的时间戳。

检测和缓解“中国菜刀”最有效的方法在于主机自身,尤其是面向公众的Web服务器上。在基于Linux和Windows的操作系统上,有一些简单的方法可以使用命令行搜索Web shell的存在。

防御建议

报告强调,为了更广泛地检测web shells,网络防御者应该专注于发现Web服务器上的可疑进程执行(例如php二进制文件生成进程),或者来自Web服务器的错误模式出站网络连接。

3. Mimikatz

Mimikatz,由法国程序员Benjamin Delpy于2007年开发,主要通过名为Local Security Authority Subsystem Service(LSASS)的Windows进程收集登录目标Windows计算机的其他用户的凭据。

Mimikatz 能在极短的时间内从计算机内存中抓取 Windows 用户的密码,从而获得该计算机的访问权或者受害人在网络上的其他访问权。如今,Mimikatz 已经成为一种无处不在的黑客渗透工具,入侵者们一旦打开缺口,就能迅速从一台联网设备跳到下一台。

2017年,Mimikatz 重新回到了人们的视线中,它成为了 NotPetya 和 BadRabbit的组成部分,而这两个勒索蠕虫已经击垮了乌克兰,并且蔓延到整个欧洲、俄罗斯和美国。其中,仅 NotPetya 就导致了马士基、默克和联邦快递等公司数千台电脑的瘫痪,已经造成 10 亿多美元的损失。

正如计算机商业评论在5月份指出的那样,Windows 10版本1803中的大量安全更新将可以阻止从lsass.exe窃取凭据。

事实上,最初Benjamin Delpy只是将Mimikatz作副项目来开发,旨在更加了解Windows的安全性能和C语言,同时意在向微软证明Windows密码中存在的安全漏洞。但也正如Delpy所言,虽然Mimikatz不是为攻击者设计的,但是它却帮助了他们,任何一个事物,有利就有弊。由于Mimikatz工具功能强大、多样且开源的特性,允许恶意行为者和渗透测试人员开发自定义插件,因此,近年来开始频繁地被众多攻击者用于恶意目的。

防御建议

首先,防御者应该禁止在LSASS内存中存储明文密码。这是Windows 8.1 / Server 2012 R2及更高版本的默认行为,但用户可以在安装了相关安全修补程序的旧系统上更改这种默认设置。

其次,无论在何处发现了Mimikatz的活动痕迹,您都应该进行严格的调查,因为Mimikatz的出现就表明攻击者正在积极地渗透您的网络。此外,Mimikatz的一些功能需要利用管理员账户来发挥效用,因此,您应该确保仅根据需要授权管理员账户。在需要管理访问权限的情况下,您应该应用“权限访问管理原则”。

4. PowerShell Empire

PowerShell Empire框架(Empire)于2015年被设计为合法的渗透测试工具,是一个PowerShell后期漏洞利用代理工具,同时也是一款很强大的后渗透测神器。

它旨在允许攻击者(或渗透测试人员)在获得初始访问权限后在网络中移动。此外,它还可用于升级权限、获取凭据、渗漏信息并在网络中横向移动。(类似工具包括Cobalt Strike和Metasploit)

由于它是构建在一个通用的合法应用程序(PowerShell)上,并且几乎可以完全在内存中运行,所以使用传统的防病毒工具很难在网络上检测到Empire。NCSC指出,PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中已经变得越来越受欢迎。

以最近的一个攻击案件为例:2017年,黑客组织APT19在多起针对跨国法律与投资公司的钓鱼攻击活动,就使用了嵌入宏的Microsoft Excel文档(XLSM),而该文档就是由PowerShell Empire生成的。

防御建议

NCSC表示,想要识别潜在的恶意脚本,就应该全面记录PowerShell活动。这应该包括脚本块日志记录和PowerShell脚本。此外,通过使用脚本代码签名、应用程序白名单以及约束语言模式的组合,也能够防止或限制恶意PowerShell在成功入侵时可能造成的影响。

5. HUC数据包发送器(HTran)

HUC数据包发送器(HTran)是一种代理工具,用于拦截和重定向从本地主机到远程主机的传输控制协议(TCP)连接。该工具至少自2009年起就已经在互联网上免费提供,并且经常能够在针对政府和行业目标的攻击活动中发现其身影。

HTran可以将自身注入正在运行的进程并安装rootkit来隐藏与主机操作系统的网络连接。使用这些功能还可以创建Windows注册表项,以确保HTran保持对受害者网络的持久访问。

防御建议

现代的、经过正确配置和仔细审查的网络监控工具和防火墙,通常能够检测出来自HTran等工具的未经授权的连接。此外,NCSC指出,HTran还包括一个对网络防御者有用的调试条件。在目的地不可用的情况下,HTran会使用以下格式生成错误消息:sprint(buffer, “[SERVER]connection to %s:%d error ”, host, port2);该错误消息会以明文形式中继到连接客户端中。网络防御者可以监视该错误消息,以便检测自身环境中活跃的HTran实例。

总结

不可否认,这确实是一篇很棒的报告,突出了攻击者如何使用最简单的方法来危害其受害者,以及这些工具如何变得越来越有用,能够帮助攻击者降低攻击成本。

虽然,这些工具开发初衷通常并非用于恶意企图,而是帮助网络管理员和渗透测试人员查缺补漏,但是,渐渐地,这些工具自身所具备的强大特性却吸引了越累越多恶意行为者的关注,并开始频繁地将其用于恶意攻击活动中。

最后,NCSC表示,事实上,只需要通过一些基础的网络卫生措施,就可以帮助公司实现其业务目标并有效地抵御这些攻击。这些基础的网络卫生措施包括网络分区、确保安装防病毒软件、及时更新补丁程序,以及针对面向互联网的系统进行积极地监控管理等等。

 



Tags:黑客 工具   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
黑客们最爱的工具有哪些?他们是如何使用这些工具的?
1. 前言本文主要介绍Kali Linux系统里,最受黑客喜爱的工具有哪些。Kali Linux是一个基于Linux的操作系统,主要用于渗透测试。Kali.org最近发布了带有一些额外功能的新版本。在...【详细内容】
2020-06-01  Search: 黑客 工具  点击:(495)  评论:(0)  加入收藏
国外安全网站评选黑客最常用的13种工具
黑客,曾经是一个叱诧风云的名词,最早起源于电话系统,指盗用电话系统的人,后来电脑普及以后,黑客的战场自然而然走向了电脑,现在把那些对电脑和网络运作有着深入理解的人群,这类人也...【详细内容】
2019-12-04  Search: 黑客 工具  点击:(532)  评论:(0)  加入收藏
5种最常用的黑客工具,以及如何防御
近日,英国国家网络安全中心(NCSC)在其与“五眼”情报合作伙伴(澳大利亚、加拿大、新西兰和美国)的联合报告中,公布了最常用和公开可用的黑客工具及技术清单。 据了解,五眼(Five Eyes...【详细内容】
2019-05-13  Search: 黑客 工具  点击:(1652)  评论:(0)  加入收藏
八款流行无线黑客工具,非常实用
1、AircrackAircrack是最受欢迎的无线密码破解工具之一,可用于802.11a / b / g WEP和WPA破解。Aircrack使用的算法是通过捕获数据包来恢复无线密码。收集到足够的数据包后,它...【详细内容】
2019-05-05  Search: 黑客 工具  点击:(2232)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(9)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(56)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(142)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(87)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(110)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(144)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(179)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(164)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(227)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条