5種最常用的黑客工具,以及如何防御
責編:gltian |2018-10-29 13:26:53近日,英國國家網絡安全中心(NCSC)在其與“五眼”情報合作伙伴(澳大利亞、加拿大、新西蘭和美國)的聯合報告中,公布了最常用和公開可用的黑客工具及技術清單。
據了解,五眼(Five Eyes),是指二戰后英美多項秘密協議催生的多國監聽組織“UKUSA”。該組織由美國、英國、澳大利亞、加拿大和新西蘭的情報機構組成。這五個國家組成的情報間諜聯盟內部實現互聯互通情報信息,竊取來的商業數據在這些國家的政府部門和公司企業之間共享。
該聯合報告的根本目標是幫助網絡維護者和系統管理員更好地組織其工作。此外,該報告還提供了關于限制這些工具的有效性,以及檢測其在網絡上的使用的建議。
“五眼”Top5:使用最廣泛的黑客工具
該報告主要涵蓋了五大類別,包括遠程訪問木馬(RAT)、web shells、憑證竊取程序、橫向移動框架以及C2混淆器。
并且,它主要聚焦JBiFrost、China Chopper、Mimikatz、PowerShell Empire以及HTran這5款黑客工具。
該報告重申了對基本安全衛生的需求,強調了針對受損系統的入侵活動通常會利用一些常見的安全漏洞,例如未修補的軟件漏洞等等。下述這些工具一旦實現入侵就會發揮作用,允許攻擊者在受害者的系統內進一步實現其惡意企圖。
1. JBiFrost遠程訪問木馬(RAT)
木馬(Trojan)這個詞源自于經典的特洛伊戰爭故事,一群希臘士兵藏在一個巨大的木馬中,并進入特洛伊城,然后跳出來大肆攻擊敵人。而在計算機世界里,木馬是種惡意軟件,通過電子郵件或惡意網頁偷偷進入并安裝在你的計算機上。一旦進入后,惡意軟件就可以做各種壞事了。
有些木馬程序被稱為遠程訪問木馬,被設計用于遠程操縱用戶的計算機,讓黑客可以完全控制。有些則可能有不同目的,例如竊取個人信息,側錄鍵盤,甚至將受害者計算機作為僵尸網絡的一部分。
英國國家網絡安全中心(NCSC)表示,雖然有大量的RAT活躍于世,但是JBiFrost開始越來越多地被用于針對關鍵國家基礎設施所有者及其供應鏈運營商的針對性攻擊活動之中。
據悉,JBiFrost RAT是一款基于Java的、跨平臺且多功能的遠程訪問木馬。它可以對多種不同的操作系統構成威脅,具體包括Windows、Linux、MAC OS X以及Android。JBiFrost允許惡意行為者在網絡上橫向移動,或安裝其他惡意軟件。它主要通過網絡釣魚電子郵件作為附件進行傳播。
感染跡象包括:
- 無法以安全模式重新啟動計算機;
- 無法打開Windows注冊表編輯器或任務管理;
- 磁盤活動和/或網絡流量顯著增加;
- 嘗試連接已知的惡意IP地址;
- 使用模糊或隨機名稱創建新文件和目錄;
防御建議
NCSC表示,定期修補和更新補丁程序,以及使用現代防病毒程序可以阻止大多數變種。組織還應該針對重要網絡資產實施額外的防病毒檢測。此外,培訓用戶和企業員工的網絡釣魚意識也至關重要。
2. 中國菜刀(China Chopper)
顧名思義,“web”的含義是顯然需要服務器開放web服務,“shell”的含義是取得對服務器某種程度上操作權限。“webshell”常常被稱為入侵者通過網站端口對網站服務器的某種程度上操作的權限。“中國菜刀”就是一種應用非常廣的webshell,其大小僅有4kb。
一旦設備遭到入侵,“中國菜刀”就可以使用文件檢索工具“wget”將文件從Internet下載到目標,并編輯、刪除、復制、重命名以及更改現有文件的時間戳。
檢測和緩解“中國菜刀”最有效的方法在于主機自身,尤其是面向公眾的Web服務器上。在基于Linux和Windows的操作系統上,有一些簡單的方法可以使用命令行搜索Web shell的存在。
防御建議
報告強調,為了更廣泛地檢測web shells,網絡防御者應該專注于發現Web服務器上的可疑進程執行(例如PHP二進制文件生成進程),或者來自Web服務器的錯誤模式出站網絡連接。
3. Mimikatz
Mimikatz,由法國程序員Benjamin Delpy于2007年開發,主要通過名為Local Security Authority Subsystem Service(LSASS)的Windows進程收集登錄目標Windows計算機的其他用戶的憑據。
Mimikatz 能在極短的時間內從計算機內存中抓取 Windows 用戶的密碼,從而獲得該計算機的訪問權或者受害人在網絡上的其他訪問權。如今,Mimikatz 已經成為一種無處不在的黑客滲透工具,入侵者們一旦打開缺口,就能迅速從一臺聯網設備跳到下一臺。
2017年,Mimikatz 重新回到了人們的視線中,它成為了 NotPetya 和 BadRabbit的組成部分,而這兩個勒索蠕蟲已經擊垮了烏克蘭,并且蔓延到整個歐洲、俄羅斯和美國。其中,僅 NotPetya 就導致了馬士基、默克和聯邦快遞等公司數千臺電腦的癱瘓,已經造成 10 億多美元的損失。
正如計算機商業評論在5月份指出的那樣,Windows 10版本1803中的大量安全更新將可以阻止從lsass.exe竊取憑據。
事實上,最初Benjamin Delpy只是將Mimikatz作副項目來開發,旨在更加了解Windows的安全性能和C語言,同時意在向微軟證明Windows密碼中存在的安全漏洞。但也正如Delpy所言,雖然Mimikatz不是為攻擊者設計的,但是它卻幫助了他們,任何一個事物,有利就有弊。由于Mimikatz工具功能強大、多樣且開源的特性,允許惡意行為者和滲透測試人員開發自定義插件,因此,近年來開始頻繁地被眾多攻擊者用于惡意目的。
防御建議
首先,防御者應該禁止在LSASS內存中存儲明文密碼。這是Windows 8.1 / Server 2012 R2及更高版本的默認行為,但用戶可以在安裝了相關安全修補程序的舊系統上更改這種默認設置。
其次,無論在何處發現了Mimikatz的活動痕跡,您都應該進行嚴格的調查,因為Mimikatz的出現就表明攻擊者正在積極地滲透您的網絡。此外,Mimikatz的一些功能需要利用管理員賬戶來發揮效用,因此,您應該確保僅根據需要授權管理員賬戶。在需要管理訪問權限的情況下,您應該應用“權限訪問管理原則”。
4. PowerShell Empire
PowerShell Empire框架(Empire)于2015年被設計為合法的滲透測試工具,是一個PowerShell后期漏洞利用代理工具,同時也是一款很強大的后滲透測神器。
它旨在允許攻擊者(或滲透測試人員)在獲得初始訪問權限后在網絡中移動。此外,它還可用于升級權限、獲取憑據、滲漏信息并在網絡中橫向移動。(類似工具包括Cobalt Strike和Metasploit)
由于它是構建在一個通用的合法應用程序(PowerShell)上,并且幾乎可以完全在內存中運行,所以使用傳統的防病毒工具很難在網絡上檢測到Empire。NCSC指出,PowerShell Empire在敵對的國家行為者和有組織的犯罪分子中已經變得越來越受歡迎。
以最近的一個攻擊案件為例:2017年,黑客組織APT19在多起針對跨國法律與投資公司的釣魚攻擊活動,就使用了嵌入宏的Microsoft Excel文檔(XLSM),而該文檔就是由PowerShell Empire生成的。
防御建議
NCSC表示,想要識別潛在的惡意腳本,就應該全面記錄PowerShell活動。這應該包括腳本塊日志記錄和PowerShell腳本。此外,通過使用腳本代碼簽名、應用程序白名單以及約束語言模式的組合,也能夠防止或限制惡意PowerShell在成功入侵時可能造成的影響。
5. HUC數據包發送器(HTran)
HUC數據包發送器(HTran)是一種代理工具,用于攔截和重定向從本地主機到遠程主機的傳輸控制協議(TCP)連接。該工具至少自2009年起就已經在互聯網上免費提供,并且經常能夠在針對政府和行業目標的攻擊活動中發現其身影。
HTran可以將自身注入正在運行的進程并安裝rootkit來隱藏與主機操作系統的網絡連接。使用這些功能還可以創建Windows注冊表項,以確保HTran保持對受害者網絡的持久訪問。
防御建議
現代的、經過正確配置和仔細審查的網絡監控工具和防火墻,通常能夠檢測出來自HTran等工具的未經授權的連接。此外,NCSC指出,HTran還包括一個對網絡防御者有用的調試條件。在目的地不可用的情況下,HTran會使用以下格式生成錯誤消息:sprint(buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2);該錯誤消息會以明文形式中繼到連接客戶端中。網絡防御者可以監視該錯誤消息,以便檢測自身環境中活躍的HTran實例。
總結
不可否認,這確實是一篇很棒的報告,突出了攻擊者如何使用最簡單的方法來危害其受害者,以及這些工具如何變得越來越有用,能夠幫助攻擊者降低攻擊成本。
雖然,這些工具開發初衷通常并非用于惡意企圖,而是幫助網絡管理員和滲透測試人員查缺補漏,但是,漸漸地,這些工具自身所具備的強大特性卻吸引了越累越多惡意行為者的關注,并開始頻繁地將其用于惡意攻擊活動中。
最后,NCSC表示,事實上,只需要通過一些基礎的網絡衛生措施,就可以幫助公司實現其業務目標并有效地抵御這些攻擊。這些基礎的網絡衛生措施包括網絡分區、確保安裝防病毒軟件、及時更新補丁程序,以及針對面向互聯網的系統進行積極地監控管理等等。