5种最常用的黑客工具，以及如何防御

近日，英国国家网络安全中心(NCSC)在其与“五眼”情报合作伙伴(澳大利亚、加拿大、新西兰和美国)的联合报告中，公布了最常用和公开可用的黑客工具及技术清单。

据了解，五眼(Five Eyes)，是指二战后英美多项秘密协议催生的多国监听组织“UKUSA”。该组织由美国、英国、澳大利亚、加拿大和新西兰的情报机构组成。这五个国家组成的情报间谍联盟内部实现互联互通情报信息，窃取来的商业数据在这些国家的政府部门和公司企业之间共享。

该联合报告的根本目标是帮助网络维护者和系统管理员更好地组织其工作。此外，该报告还提供了关于限制这些工具的有效性，以及检测其在网络上的使用的建议。

“五眼”Top5：使用最广泛的黑客工具

该报告主要涵盖了五大类别，包括远程访问木马(RAT)、web shells、凭证窃取程序、横向移动框架以及C2混淆器。

并且，它主要聚焦JBiFrost、China Chopper、Mimikatz、PowerShell Empire以及HTran这5款黑客工具。

该报告重申了对基本安全卫生的需求，强调了针对受损系统的入侵活动通常会利用一些常见的安全漏洞，例如未修补的软件漏洞等等。下述这些工具一旦实现入侵就会发挥作用，允许攻击者在受害者的系统内进一步实现其恶意企图。

1. JBiFrost远程访问木马(RAT)

木马(Trojan)这个词源自于经典的特洛伊战争故事，一群希腊士兵藏在一个巨大的木马中，并进入特洛伊城，然后跳出来大肆攻击敌人。而在计算机世界里，木马是种恶意软件，通过电子邮件或恶意网页偷偷进入并安装在你的计算机上。一旦进入后，恶意软件就可以做各种坏事了。

有些木马程序被称为远程访问木马，被设计用于远程操纵用户的计算机，让黑客可以完全控制。有些则可能有不同目的，例如窃取个人信息，侧录键盘，甚至将受害者计算机作为僵尸网络的一部分。

英国国家网络安全中心(NCSC)表示，虽然有大量的RAT活跃于世，但是JBiFrost开始越来越多地被用于针对关键国家基础设施所有者及其供应链运营商的针对性攻击活动之中。

据悉，JBiFrost RAT是一款基于Java的、跨平台且多功能的远程访问木马。它可以对多种不同的操作系统构成威胁，具体包括Windows、Linux、MAC OS X以及Android。JBiFrost允许恶意行为者在网络上横向移动，或安装其他恶意软件。它主要通过网络钓鱼电子邮件作为附件进行传播。

感染迹象包括：

• 无法以安全模式重新启动计算机;
• 无法打开Windows注册表编辑器或任务管理;
• 磁盘活动和/或网络流量显着增加;
• 尝试连接已知的恶意IP地址;
• 使用模糊或随机名称创建新文件和目录;

防御建议

NCSC表示，定期修补和更新补丁程序，以及使用现代防病毒程序可以阻止大多数变种。组织还应该针对重要网络资产实施额外的防病毒检测。此外，培训用户和企业员工的网络钓鱼意识也至关重要。

2. 中国菜刀(China Chopper)

顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。“webshell”常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。“中国菜刀”就是一种应用非常广的webshell，其大小仅有4kb。

一旦设备遭到入侵，“中国菜刀”就可以使用文件检索工具“wget”将文件从Internet下载到目标，并编辑、删除、复制、重命名以及更改现有文件的时间戳。

检测和缓解“中国菜刀”最有效的方法在于主机自身，尤其是面向公众的Web服务器上。在基于Linux和Windows的操作系统上，有一些简单的方法可以使用命令行搜索Web shell的存在。

防御建议

报告强调，为了更广泛地检测web shells，网络防御者应该专注于发现Web服务器上的可疑进程执行(例如PHP二进制文件生成进程)，或者来自Web服务器的错误模式出站网络连接。

3. Mimikatz

Mimikatz，由法国程序员Benjamin Delpy于2007年开发，主要通过名为Local Security Authority Subsystem Service(LSASS)的Windows进程收集登录目标Windows计算机的其他用户的凭据。

Mimikatz 能在极短的时间内从计算机内存中抓取 Windows 用户的密码，从而获得该计算机的访问权或者受害人在网络上的其他访问权。如今，Mimikatz 已经成为一种无处不在的黑客渗透工具，入侵者们一旦打开缺口，就能迅速从一台联网设备跳到下一台。

2017年，Mimikatz 重新回到了人们的视线中，它成为了 NotPetya 和 BadRabbit的组成部分，而这两个勒索蠕虫已经击垮了乌克兰，并且蔓延到整个欧洲、俄罗斯和美国。其中，仅 NotPetya 就导致了马士基、默克和联邦快递等公司数千台电脑的瘫痪，已经造成 10 亿多美元的损失。

正如计算机商业评论在5月份指出的那样，Windows 10版本1803中的大量安全更新将可以阻止从lsass.exe窃取凭据。

事实上，最初Benjamin Delpy只是将Mimikatz作副项目来开发，旨在更加了解Windows的安全性能和C语言，同时意在向微软证明Windows密码中存在的安全漏洞。但也正如Delpy所言，虽然Mimikatz不是为攻击者设计的，但是它却帮助了他们，任何一个事物，有利就有弊。由于Mimikatz工具功能强大、多样且开源的特性，允许恶意行为者和渗透测试人员开发自定义插件，因此，近年来开始频繁地被众多攻击者用于恶意目的。

防御建议

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!