江苏龙网

  1. 主页 > 生活百科 > >

5种最常用的黑客工具,以及如何防御( 二 )

工具黑客


2017年,Mimikatz 重新回到了人们的视线中,它成为了 NotPetya 和 BadRabbit的组成部分,而这两个勒索蠕虫已经击垮了乌克兰,并且蔓延到整个欧洲、俄罗斯和美国 。其中,仅 NotPetya 就导致了马士基、默克和联邦快递等公司数千台电脑的瘫痪,已经造成 10 亿多美元的损失 。
正如计算机商业评论在5月份指出的那样,Windows 10版本1803中的大量安全更新将可以阻止从lsass.exe窃取凭据 。
事实上,最初Benjamin Delpy只是将Mimikatz作副项目来开发,旨在更加了解Windows的安全性能和C语言,同时意在向微软证明Windows密码中存在的安全漏洞 。但也正如Delpy所言,虽然Mimikatz不是为攻击者设计的,但是它却帮助了他们,任何一个事物,有利就有弊 。由于Mimikatz工具功能强大、多样且开源的特性,允许恶意行为者和渗透测试人员开发自定义插件,因此,近年来开始频繁地被众多攻击者用于恶意目的 。
防御建议
首先,防御者应该禁止在LSASS内存中存储明文密码 。这是Windows 8.1 / Server 2012 R2及更高版本的默认行为,但用户可以在安装了相关安全修补程序的旧系统上更改这种默认设置 。
其次,无论在何处发现了Mimikatz的活动痕迹,您都应该进行严格的调查,因为Mimikatz的出现就表明攻击者正在积极地渗透您的网络 。此外,Mimikatz的一些功能需要利用管理员账户来发挥效用,因此,您应该确保仅根据需要授权管理员账户 。在需要管理访问权限的情况下,您应该应用“权限访问管理原则” 。
4. PowerShell EmpirePowerShell Empire框架(Empire)于2015年被设计为合法的渗透测试工具,是一个PowerShell后期漏洞利用代理工具,同时也是一款很强大的后渗透测神器 。
它旨在允许攻击者(或渗透测试人员)在获得初始访问权限后在网络中移动 。此外,它还可用于升级权限、获取凭据、渗漏信息并在网络中横向移动 。(类似工具包括Cobalt Strike和Metasploit)
由于它是构建在一个通用的合法应用程序(PowerShell)上,并且几乎可以完全在内存中运行,所以使用传统的防病毒工具很难在网络上检测到Empire 。NCSC指出,PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中已经变得越来越受欢迎 。
以最近的一个攻击案件为例:2017年,黑客组织APT19在多起针对跨国法律与投资公司的钓鱼攻击活动,就使用了嵌入宏的Microsoft Excel文档(XLSM),而该文档就是由PowerShell Empire生成的 。
防御建议
NCSC表示,想要识别潜在的恶意脚本,就应该全面记录PowerShell活动 。这应该包括脚本块日志记录和PowerShell脚本 。此外,通过使用脚本代码签名、应用程序白名单以及约束语言模式的组合,也能够防止或限制恶意PowerShell在成功入侵时可能造成的影响 。
5. HUC数据包发送器(HTran)HUC数据包发送器(HTran)是一种代理工具,用于拦截和重定向从本地主机到远程主机的传输控制协议(TCP)连接 。该工具至少自2009年起就已经在互联网上免费提供,并且经常能够在针对政府和行业目标的攻击活动中发现其身影 。
HTran可以将自身注入正在运行的进程并安装rootkit来隐藏与主机操作系统的网络连接 。使用这些功能还可以创建Windows注册表项,以确保HTran保持对受害者网络的持久访问 。
防御建议
现代的、经过正确配置和仔细审查的网络监控工具和防火墙,通常能够检测出来自HTran等工具的未经授权的连接 。此外,NCSC指出,HTran还包括一个对网络防御者有用的调试条件 。在目的地不可用的情况下,HTran会使用以下格式生成错误消息:sprint(buffer, “[SERVER]connection to %s:%d error ”, host, port2);该错误消息会以明文形式中继到连接客户端中 。网络防御者可以监视该错误消息,以便检测自身环境中活跃的HTran实例 。
总结
不可否认,这确实是一篇很棒的报告,突出了攻击者如何使用最简单的方法来危害其受害者,以及这些工具如何变得越来越有用,能够帮助攻击者降低攻击成本 。
虽然,这些工具开发初衷通常并非用于恶意企图,而是帮助网络管理员和渗透测试人员查缺补漏,但是,渐渐地,这些工具自身所具备的强大特性却吸引了越累越多恶意行为者的关注,并开始频繁地将其用于恶意攻击活动中 。
最后,NCSC表示,事实上,只需要通过一些基础的网络卫生措施,就可以帮助公司实现其业务目标并有效地抵御这些攻击 。这些基础的网络卫生措施包括网络分区、确保安装防病毒软件、及时更新补丁程序,以及针对面向互联网的系统进行积极地监控管理等等 。


推荐阅读


上一篇:寻寻觅觅台湾古早味 沉沉甸甸日月潭红茶

下一篇:银骏眉的冲泡方法和步骤 掌握4个步骤