10月12日，五眼情報機構(gòu) (美國, 英國, 加拿大, 澳大利亞和新西蘭) 發(fā)布了一份聯(lián)合報告, 詳細介紹了一些流行黑客工具，提供了有關(guān)最受歡迎的黑客工具系列的技術(shù)細節(jié), 以及檢測和中和涉及他們的攻擊的方法。

澳大利亞網(wǎng)絡安全中心 (ACSC)、加拿大網(wǎng)絡安全中心(CCCS)、新西蘭國家網(wǎng)絡安全中心(NZ NCSC)、新西蘭CERT、英國國家網(wǎng)絡安全中心(UK NCSC)、美國國家網(wǎng)絡安全和通信集成中心 (NCCIC)等共同完成了這項報告。

[[248085]]

報告強調(diào)指出了五個公開可用的工具, 它們在世界各地最近的網(wǎng)絡事件中被用于惡意用途。五工具是:

• Remote Access Trojan: JBiFrost
• Webshell: China Chopper
• Credential Stealer: Mimikatz
• Lateral Movement Framework: PowerShell Empire
• C2 Obfuscation and Exfiltration: HUC Packet Transmitter

為了幫助網(wǎng)絡維護者和系統(tǒng)管理員的工作, 報告還提供有關(guān)這些工具檢測和防范的建議。

JBiFrost是個基于java的、跨平臺的、多功能工具，屬于Adwind 后門的變種。它對幾個不同的操作系統(tǒng)構(gòu)成威脅, 包括 Windows、Linux、MAC OS X 和 Android。很多型的攻擊者都使用了這種工具方法, 從受國家支持的黑客到低技能的騙子，包括APT10。

報告提到許多黑客會在橫向滲透中使用到PowerShell，及流行工具Mimikatz。Mimikatz常被攻擊者用來提升特權(quán)、收獲憑據(jù)、查找附近的主機和在目標網(wǎng)絡上橫向移動。

China Chopper是一個代碼注入的 web shell，在 HTTP POST 命令中執(zhí)行 Microsoft. NET 代碼。它體積輕巧 (4K), 廣泛應用于2012年以來的網(wǎng)絡攻擊中。APT組織Leviathan. aka TEMP.Periscope 用之攻擊工程、航海等機構(gòu)、實體。

HUC Packet Transmitter是 HUC 數(shù)據(jù)包發(fā)送器 (HTran), 攻擊者可以利用這些信息來混淆與意圖繞過安全控制和規(guī)避檢測的通信。

報告指出：本報告中介紹的單個工具是威脅參與者使用的工具類型的有限示例。在規(guī)劃網(wǎng)絡防御時, 您不應認為這是一個詳盡的列表。它們的廣泛可用性為網(wǎng)絡防御工作帶來了挑戰(zhàn)。