近日，英國國家網(wǎng)絡(luò)安全中心(NCSC)在其與“五眼”情報(bào)合作伙伴(澳大利亞、加拿大、新西蘭和美國)的聯(lián)合報(bào)告中，公布了最常用和公開可用的黑客工具及技術(shù)清單。

[[247871]]

據(jù)了解，五眼(Five Eyes)，是指二戰(zhàn)后英美多項(xiàng)秘密協(xié)議催生的多國監(jiān)聽組織“UKUSA”。該組織由美國、英國、澳大利亞、加拿大和新西蘭的情報(bào)機(jī)構(gòu)組成。這五個(gè)國家組成的情報(bào)間諜聯(lián)盟內(nèi)部實(shí)現(xiàn)互聯(lián)互通情報(bào)信息，竊取來的商業(yè)數(shù)據(jù)在這些國家的政府部門和公司企業(yè)之間共享。

該聯(lián)合報(bào)告的根本目標(biāo)是幫助網(wǎng)絡(luò)維護(hù)者和系統(tǒng)管理員更好地組織其工作。此外，該報(bào)告還提供了關(guān)于限制這些工具的有效性，以及檢測其在網(wǎng)絡(luò)上的使用的建議。

“五眼”Top5：使用最廣泛的黑客工具

該報(bào)告主要涵蓋了五大類別，包括遠(yuǎn)程訪問木馬(RAT)、web shells、憑證竊取程序、橫向移動框架以及C2混淆器。

并且，它主要聚焦JBiFrost、China Chopper、Mimikatz、PowerShell Empire以及HTran這5款黑客工具。

該報(bào)告重申了對基本安全衛(wèi)生的需求，強(qiáng)調(diào)了針對受損系統(tǒng)的入侵活動通常會利用一些常見的安全漏洞，例如未修補(bǔ)的軟件漏洞等等。下述這些工具一旦實(shí)現(xiàn)入侵就會發(fā)揮作用，允許攻擊者在受害者的系統(tǒng)內(nèi)進(jìn)一步實(shí)現(xiàn)其惡意企圖。

1. JBiFrost遠(yuǎn)程訪問木馬(RAT)

[[247872]]

木馬(Trojan)這個(gè)詞源自于經(jīng)典的特洛伊戰(zhàn)爭故事，一群希臘士兵藏在一個(gè)巨大的木馬中，并進(jìn)入特洛伊城，然后跳出來大肆攻擊敵人。而在計(jì)算機(jī)世界里，木馬是種惡意軟件，通過電子郵件或惡意網(wǎng)頁偷偷進(jìn)入并安裝在你的計(jì)算機(jī)上。一旦進(jìn)入后，惡意軟件就可以做各種壞事了。

有些木馬程序被稱為遠(yuǎn)程訪問木馬，被設(shè)計(jì)用于遠(yuǎn)程操縱用戶的計(jì)算機(jī)，讓黑客可以完全控制。有些則可能有不同目的，例如竊取個(gè)人信息，側(cè)錄鍵盤，甚至將受害者計(jì)算機(jī)作為僵尸網(wǎng)絡(luò)的一部分。

英國國家網(wǎng)絡(luò)安全中心(NCSC)表示，雖然有大量的RAT活躍于世，但是JBiFrost開始越來越多地被用于針對關(guān)鍵國家基礎(chǔ)設(shè)施所有者及其供應(yīng)鏈運(yùn)營商的針對性攻擊活動之中。

據(jù)悉，JBiFrost RAT是一款基于Java的、跨平臺且多功能的遠(yuǎn)程訪問木馬。它可以對多種不同的操作系統(tǒng)構(gòu)成威脅，具體包括Windows、Linux、MAC OS X以及Android。JBiFrost允許惡意行為者在網(wǎng)絡(luò)上橫向移動，或安裝其他惡意軟件。它主要通過網(wǎng)絡(luò)釣魚電子郵件作為附件進(jìn)行傳播。

感染跡象包括：

• 無法以安全模式重新啟動計(jì)算機(jī);
• 無法打開Windows注冊表編輯器或任務(wù)管理;
• 磁盤活動和/或網(wǎng)絡(luò)流量顯著增加;
• 嘗試連接已知的惡意IP地址;
• 使用模糊或隨機(jī)名稱創(chuàng)建新文件和目錄;

防御建議

NCSC表示，定期修補(bǔ)和更新補(bǔ)丁程序，以及使用現(xiàn)代防病毒程序可以阻止大多數(shù)變種。組織還應(yīng)該針對重要網(wǎng)絡(luò)資產(chǎn)實(shí)施額外的防病毒檢測。此外，培訓(xùn)用戶和企業(yè)員工的網(wǎng)絡(luò)釣魚意識也至關(guān)重要。

2. 中國菜刀(China Chopper)

[[247873]]

顧名思義，“web”的含義是顯然需要服務(wù)器開放web服務(wù)，“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。“webshell”常常被稱為入侵者通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。“中國菜刀”就是一種應(yīng)用非常廣的webshell，其大小僅有4kb。

一旦設(shè)備遭到入侵，“中國菜刀”就可以使用文件檢索工具“wget”將文件從Internet下載到目標(biāo)，并編輯、刪除、復(fù)制、重命名以及更改現(xiàn)有文件的時(shí)間戳。

檢測和緩解“中國菜刀”最有效的方法在于主機(jī)自身，尤其是面向公眾的Web服務(wù)器上。在基于Linux和Windows的操作系統(tǒng)上，有一些簡單的方法可以使用命令行搜索Web shell的存在。

防御建議

報(bào)告強(qiáng)調(diào)，為了更廣泛地檢測web shells，網(wǎng)絡(luò)防御者應(yīng)該專注于發(fā)現(xiàn)Web服務(wù)器上的可疑進(jìn)程執(zhí)行(例如PHP二進(jìn)制文件生成進(jìn)程)，或者來自Web服務(wù)器的錯(cuò)誤模式出站網(wǎng)絡(luò)連接。

3. Mimikatz

[[247874]]

Mimikatz，由法國程序員Benjamin Delpy于2007年開發(fā)，主要通過名為Local Security Authority Subsystem Service(LSASS)的Windows進(jìn)程收集登錄目標(biāo)Windows計(jì)算機(jī)的其他用戶的憑據(jù)。

Mimikatz 能在極短的時(shí)間內(nèi)從計(jì)算機(jī)內(nèi)存中抓取 Windows 用戶的密碼，從而獲得該計(jì)算機(jī)的訪問權(quán)或者受害人在網(wǎng)絡(luò)上的其他訪問權(quán)。如今，Mimikatz 已經(jīng)成為一種無處不在的黑客滲透工具，入侵者們一旦打開缺口，就能迅速從一臺聯(lián)網(wǎng)設(shè)備跳到下一臺。

2017年，Mimikatz 重新回到了人們的視線中，它成為了 NotPetya 和 BadRabbit的組成部分，而這兩個(gè)勒索蠕蟲已經(jīng)擊垮了烏克蘭，并且蔓延到整個(gè)歐洲、俄羅斯和美國。其中，僅 NotPetya 就導(dǎo)致了馬士基、默克和聯(lián)邦快遞等公司數(shù)千臺電腦的癱瘓，已經(jīng)造成 10 億多美元的損失。

正如計(jì)算機(jī)商業(yè)評論在5月份指出的那樣，Windows 10版本1803中的大量安全更新將可以阻止從lsass.exe竊取憑據(jù)。

事實(shí)上，最初Benjamin Delpy只是將Mimikatz作副項(xiàng)目來開發(fā)，旨在更加了解Windows的安全性能和C語言，同時(shí)意在向微軟證明Windows密碼中存在的安全漏洞。但也正如Delpy所言，雖然Mimikatz不是為攻擊者設(shè)計(jì)的，但是它卻幫助了他們，任何一個(gè)事物，有利就有弊。由于Mimikatz工具功能強(qiáng)大、多樣且開源的特性，允許惡意行為者和滲透測試人員開發(fā)自定義插件，因此，近年來開始頻繁地被眾多攻擊者用于惡意目的。

防御建議

首先，防御者應(yīng)該禁止在LSASS內(nèi)存中存儲明文密碼。這是Windows 8.1 / Server 2012 R2及更高版本的默認(rèn)行為，但用戶可以在安裝了相關(guān)安全修補(bǔ)程序的舊系統(tǒng)上更改這種默認(rèn)設(shè)置。

其次，無論在何處發(fā)現(xiàn)了Mimikatz的活動痕跡，您都應(yīng)該進(jìn)行嚴(yán)格的調(diào)查，因?yàn)镸imikatz的出現(xiàn)就表明攻擊者正在積極地滲透您的網(wǎng)絡(luò)。此外，Mimikatz的一些功能需要利用管理員賬戶來發(fā)揮效用，因此，您應(yīng)該確保僅根據(jù)需要授權(quán)管理員賬戶。在需要管理訪問權(quán)限的情況下，您應(yīng)該應(yīng)用“權(quán)限訪問管理原則”。

4. PowerShell Empire

[[247875]]

PowerShell Empire框架(Empire)于2015年被設(shè)計(jì)為合法的滲透測試工具，是一個(gè)PowerShell后期漏洞利用代理工具，同時(shí)也是一款很強(qiáng)大的后滲透測神器。

它旨在允許攻擊者(或滲透測試人員)在獲得初始訪問權(quán)限后在網(wǎng)絡(luò)中移動。此外，它還可用于升級權(quán)限、獲取憑據(jù)、滲漏信息并在網(wǎng)絡(luò)中橫向移動。(類似工具包括Cobalt Strike和Metasploit)

由于它是構(gòu)建在一個(gè)通用的合法應(yīng)用程序(PowerShell)上，并且?guī)缀蹩梢酝耆趦?nèi)存中運(yùn)行，所以使用傳統(tǒng)的防病毒工具很難在網(wǎng)絡(luò)上檢測到Empire。NCSC指出，PowerShell Empire在敵對的國家行為者和有組織的犯罪分子中已經(jīng)變得越來越受歡迎。

以最近的一個(gè)攻擊案件為例：2017年，黑客組織APT19在多起針對跨國法律與投資公司的釣魚攻擊活動，就使用了嵌入宏的Microsoft Excel文檔(XLSM)，而該文檔就是由PowerShell Empire生成的。

防御建議

NCSC表示，想要識別潛在的惡意腳本，就應(yīng)該全面記錄PowerShell活動。這應(yīng)該包括腳本塊日志記錄和PowerShell腳本。此外，通過使用腳本代碼簽名、應(yīng)用程序白名單以及約束語言模式的組合，也能夠防止或限制惡意PowerShell在成功入侵時(shí)可能造成的影響。

5. HUC數(shù)據(jù)包發(fā)送器(HTran)

[[247876]]

HUC數(shù)據(jù)包發(fā)送器(HTran)是一種代理工具，用于攔截和重定向從本地主機(jī)到遠(yuǎn)程主機(jī)的傳輸控制協(xié)議(TCP)連接。該工具至少自2009年起就已經(jīng)在互聯(lián)網(wǎng)上免費(fèi)提供，并且經(jīng)常能夠在針對政府和行業(yè)目標(biāo)的攻擊活動中發(fā)現(xiàn)其身影。

HTran可以將自身注入正在運(yùn)行的進(jìn)程并安裝rootkit來隱藏與主機(jī)操作系統(tǒng)的網(wǎng)絡(luò)連接。使用這些功能還可以創(chuàng)建Windows注冊表項(xiàng)，以確保HTran保持對受害者網(wǎng)絡(luò)的持久訪問。

防御建議

現(xiàn)代的、經(jīng)過正確配置和仔細(xì)審查的網(wǎng)絡(luò)監(jiān)控工具和防火墻，通常能夠檢測出來自HTran等工具的未經(jīng)授權(quán)的連接。此外，NCSC指出，HTran還包括一個(gè)對網(wǎng)絡(luò)防御者有用的調(diào)試條件。在目的地不可用的情況下，HTran會使用以下格式生成錯(cuò)誤消息：sprint(buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2);該錯(cuò)誤消息會以明文形式中繼到連接客戶端中。網(wǎng)絡(luò)防御者可以監(jiān)視該錯(cuò)誤消息，以便檢測自身環(huán)境中活躍的HTran實(shí)例。

總結(jié)

不可否認(rèn)，這確實(shí)是一篇很棒的報(bào)告，突出了攻擊者如何使用最簡單的方法來危害其受害者，以及這些工具如何變得越來越有用，能夠幫助攻擊者降低攻擊成本。

雖然，這些工具開發(fā)初衷通常并非用于惡意企圖，而是幫助網(wǎng)絡(luò)管理員和滲透測試人員查缺補(bǔ)漏，但是，漸漸地，這些工具自身所具備的強(qiáng)大特性卻吸引了越累越多惡意行為者的關(guān)注，并開始頻繁地將其用于惡意攻擊活動中。

最后，NCSC表示，事實(shí)上，只需要通過一些基礎(chǔ)的網(wǎng)絡(luò)衛(wèi)生措施，就可以幫助公司實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)并有效地抵御這些攻擊。這些基礎(chǔ)的網(wǎng)絡(luò)衛(wèi)生措施包括網(wǎng)絡(luò)分區(qū)、確保安裝防病毒軟件、及時(shí)更新補(bǔ)丁程序，以及針對面向互聯(lián)網(wǎng)的系統(tǒng)進(jìn)行積極地監(jiān)控管理等等。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文