5种最常用的黑客工具,以及如何防御
|
其次,无论在何处发现了Mimikatz的活动痕迹,您都应该进行严格的调查,因为Mimikatz的出现就表明攻击者正在积极地渗透您的网络。此外,Mimikatz的一些功能需要利用管理员账户来发挥效用,因此,您应该确保仅根据需要授权管理员账户。在需要管理访问权限的情况下,您应该应用“权限访问管理原则”。 4. PowerShell Empire
PowerShell Empire框架(Empire)于2015年被设计为合法的渗透测试工具,是一个PowerShell后期漏洞利用代理工具,同时也是一款很强大的后渗透测神器。 它旨在允许攻击者(或渗透测试人员)在获得初始访问权限后在网络中移动。此外,它还可用于升级权限、获取凭据、渗漏信息并在网络中横向移动。(类似工具包括Cobalt Strike和Metasploit) 由于它是构建在一个通用的合法应用程序(PowerShell)上,并且几乎可以完全在内存中运行,所以使用传统的防病毒工具很难在网络上检测到Empire。NCSC指出,PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中已经变得越来越受欢迎。 以最近的一个攻击案件为例:2017年,黑客组织APT19在多起针对跨国法律与投资公司的钓鱼攻击活动,就使用了嵌入宏的Microsoft Excel文档(XLSM),而该文档就是由PowerShell Empire生成的。 防御建议 NCSC表示,想要识别潜在的恶意脚本,就应该全面记录PowerShell活动。这应该包括脚本块日志记录和PowerShell脚本。此外,通过使用脚本代码签名、应用程序白名单以及约束语言模式的组合,也能够防止或限制恶意PowerShell在成功入侵时可能造成的影响。 5. HUC数据包发送器(HTran)
HUC数据包发送器(HTran)是一种代理工具,用于拦截和重定向从本地主机到远程主机的传输控制协议(TCP)连接。该工具至少自2009年起就已经在互联网上免费提供,并且经常能够在针对政府和行业目标的攻击活动中发现其身影。 HTran可以将自身注入正在运行的进程并安装rootkit来隐藏与主机操作系统的网络连接。使用这些功能还可以创建Windows注册表项,以确保HTran保持对受害者网络的持久访问。 防御建议 现代的、经过正确配置和仔细审查的网络监控工具和防火墙,通常能够检测出来自HTran等工具的未经授权的连接。此外,NCSC指出,HTran还包括一个对网络防御者有用的调试条件。在目的地不可用的情况下,HTran会使用以下格式生成错误消息:sprint(buffer, “[SERVER]connection to %s:%d errorrn”, host, port2);该错误消息会以明文形式中继到连接客户端中。网络防御者可以监视该错误消息,以便检测自身环境中活跃的HTran实例。 总结 不可否认,这确实是一篇很棒的报告,突出了攻击者如何使用最简单的方法来危害其受害者,以及这些工具如何变得越来越有用,能够帮助攻击者降低攻击成本。 虽然,这些工具开发初衷通常并非用于恶意企图,而是帮助网络管理员和渗透测试人员查缺补漏,但是,渐渐地,这些工具自身所具备的强大特性却吸引了越累越多恶意行为者的关注,并开始频繁地将其用于恶意攻击活动中。 最后,NCSC表示,事实上,只需要通过一些基础的网络卫生措施,就可以帮助公司实现其业务目标并有效地抵御这些攻击。这些基础的网络卫生措施包括网络分区、确保安装防病毒软件、及时更新补丁程序,以及针对面向互联网的系统进行积极地监控管理等等。 【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文 【编辑推荐】
点赞 0 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
