近日，英國國家網路安全中心(NCSC)在其與“五眼”情報合作伙伴(澳大利亞、加拿大、紐西蘭和美國)的聯合報告中，公佈了最常用和公開可用的黑客工具及技術清單。

本人對於Python學習建立了一個小小的學習圈子，為各位提供了一個平臺，大家一起來討論學習Python。歡迎各位到來Python學習群：960410445一起討論視訊分享學習。Python是未來的發展方向，正在挑戰我們的分析能力及對世界的認知方式，因此，我們與時俱進，迎接變化，並不斷的成長，掌握Python核心技術，才是掌握真正的價值所在。
 

據瞭解，五眼(Five Eyes)，是指二戰後英美多項祕密協議催生的多國監聽組織“UKUSA”。該組織由美國、英國、澳大利亞、加拿大和紐西蘭的情報機構組成。這五個國家組成的情報間諜聯盟內部實現互聯互通情報資訊，竊取來的商業資料在這些國家的政府部門和公司企業之間共享。

該聯合報告的根本目標是幫助網路維護者和系統管理員更好地組織其工作。此外，該報告還提供了關於限制這些工具的有效性，以及檢測其在網路上的使用的建議。

“五眼”Top5：使用最廣泛的黑客工具

該報告主要涵蓋了五大類別，包括遠端訪問木馬(RAT)、web shells、憑證竊取程式、橫向移動框架以及C2混淆器。

並且，它主要聚焦JBiFrost、China Chopper、Mimikatz、PowerShell Empire以及HTran這5款黑客工具。

該報告重申了對基本安全衛生的需求，強調了針對受損系統的入侵活動通常會利用一些常見的安全漏洞，例如未修補的軟體漏洞等等。下述這些工具一旦實現入侵就會發揮作用，允許攻擊者在受害者的系統內進一步實現其惡意企圖。

1. JBiFrost遠端訪問木馬(RAT)

木馬(Trojan)這個詞源自於經典的特洛伊戰爭故事，一群希臘士兵藏在一個巨大的木馬中，並進入特洛伊城，然後跳出來大肆攻擊敵人。而在計算機世界裡，木馬是種惡意軟體，通過電子郵件或惡意網頁偷偷進入並安裝在你的計算機上。一旦進入後，惡意軟體就可以做各種壞事了。

有些木馬程式被稱為遠端訪問木馬，被設計用於遠端操縱使用者的計算機，讓黑客可以完全控制。有些則可能有不同目的，例如竊取個人資訊，側錄鍵盤，甚至將受害者計算機作為僵屍網路的一部分。

英國國家網路安全中心(NCSC)表示，雖然有大量的RAT活躍於世，但是JBiFrost開始越來越多地被用於針對關鍵國家基礎設施所有者及其供應鏈運營商的針對性攻擊活動之中。

據悉，JBiFrost RAT是一款基於Java的、跨平臺且多功能的遠端訪問木馬。它可以對多種不同的作業系統構成威脅，具體包括Windows、Linux、MAC OS X以及Android。JBiFrost允許惡意行為者在網路上橫向移動，或安裝其他惡意軟體。它主要通過網路釣魚電子郵件作為附件進行傳播。

感染跡象包括：

• 無法以安全模式重新啟動計算機;
• 無法開啟Windows登錄檔編輯器或任務管理;
• 磁碟活動和/或網路流量顯著增加;
• 嘗試連線已知的惡意IP地址;
• 使用模糊或隨機名稱建立新檔案和目錄;

防禦建議

NCSC表示，定期修補和更新補丁程式，以及使用現代防病毒程式可以阻止大多數變種。組織還應該針對重要網路資產實施額外的防病毒檢測。此外，培訓使用者和企業員工的網路釣魚意識也至關重要。

2. 中國菜刀(China Chopper)

顧名思義，“web”的含義是顯然需要伺服器開放web服務，“shell”的含義是取得對伺服器某種程度上操作許可權。“webshell”常常被稱為入侵者通過網站埠對網站伺服器的某種程度上操作的許可權。“中國菜刀”就是一種應用非常廣的webshell，其大小僅有4kb。

一旦裝置遭到入侵，“中國菜刀”就可以使用檔案檢索工具“wget”將檔案從Internet下載到目標，並編輯、刪除、複製、重新命名以及更改現有檔案的時間戳。

檢測和緩解“中國菜刀”最有效的方法在於主機自身，尤其是面向公眾的Web伺服器上。在基於Linux和Windows的作業系統上，有一些簡單的方法可以使用命令列搜尋Web shell的存在。

防禦建議

報告強調，為了更廣泛地檢測web shells，網路防禦者應該專注於發現Web伺服器上的可疑程序執行(例如PHP二進位制檔案生成程序)，或者來自Web伺服器的錯誤模式出站網路連線。

3. Mimikatz

Mimikatz，由法國程式設計師Benjamin Delpy於2007年開發，主要通過名為Local Security Authority Subsystem Service(LSASS)的Windows程序收集登入目標Windows計算機的其他使用者的憑據。

Mimikatz 能在極短的時間內從計算機記憶體中抓取 Windows 使用者的密碼，從而獲得該計算機的訪問權或者受害人在網路上的其他訪問權。如今，Mimikatz 已經成為一種無處不在的黑客滲透工具，入侵者們一旦開啟缺口，就能迅速從一臺聯網裝置跳到下一臺。

2017年，Mimikatz 重新回到了人們的視線中，它成為了 NotPetya 和 BadRabbit的組成部分，而這兩個勒索蠕蟲已經擊垮了烏克蘭，並且蔓延到整個歐洲、俄羅斯和美國。其中，僅 NotPetya 就導致了馬士基、默克和聯邦快遞等公司數千臺電腦的癱瘓，已經造成 10 億多美元的損失。

正如計算機商業評論在5月份指出的那樣，Windows 10版本1803中的大量安全更新將可以阻止從lsass.exe竊取憑據。

事實上，最初Benjamin Delpy只是將Mimikatz作副專案來開發，旨在更加了解Windows的安全效能和C語言，同時意在向微軟證明Windows密碼中存在的安全漏洞。但也正如Delpy所言，雖然Mimikatz不是為攻擊者設計的，但是它卻幫助了他們，任何一個事物，有利就有弊。由於Mimikatz工具功能強大、多樣且開源的特性，允許惡意行為者和滲透測試人員開發自定義外掛，因此，近年來開始頻繁地被眾多攻擊者用於惡意目的。

防禦建議

首先，防禦者應該禁止在LSASS記憶體中儲存明文密碼。這是Windows 8.1 / Server 2012 R2及更高版本的預設行為，但使用者可以在安裝了相關安全修補程式的舊系統上更改這種預設設定。

其次，無論在何處發現了Mimikatz的活動痕跡，您都應該進行嚴格的調查，因為Mimikatz的出現就表明攻擊者正在積極地滲透您的網路。此外，Mimikatz的一些功能需要利用管理員賬戶來發揮效用，因此，您應該確保僅根據需要授權管理員賬戶。在需要管理訪問許可權的情況下，您應該應用“許可權訪問管理原則”。

4. PowerShell Empire

PowerShell Empire框架(Empire)於2015年被設計為合法的滲透測試工具，是一個PowerShell後期漏洞利用代理工具，同時也是一款很強大的後滲透測神器。

它旨在允許攻擊者(或滲透測試人員)在獲得初始訪問許可權後在網路中移動。此外，它還可用於升級許可權、獲取憑據、滲漏資訊並在網路中橫向移動。(類似工具包括Cobalt Strike和Metasploit)

由於它是構建在一個通用的合法應用程式(PowerShell)上，並且幾乎可以完全在記憶體中執行，所以使用傳統的防病毒工具很難在網路上檢測到Empire。NCSC指出，PowerShell Empire在敵對的國家行為者和有組織的犯罪分子中已經變得越來越受歡迎。

以最近的一個攻擊案件為例：2017年，黑客組織APT19在多起針對跨國法律與投資公司的釣魚攻擊活動，就使用了嵌入巨集的Microsoft Excel文件(XLSM)，而該文件就是由PowerShell Empire生成的。

防禦建議

NCSC表示，想要識別潛在的惡意指令碼，就應該全面記錄PowerShell活動。這應該包括指令碼塊日誌記錄和PowerShell指令碼。此外，通過使用指令碼程式碼簽名、應用程式白名單以及約束語言模式的組合，也能夠防止或限制惡意PowerShell在成功入侵時可能造成的影響。

5. HUC資料包傳送器(HTran)

HUC資料包傳送器(HTran)是一種代理工具，用於攔截和重定向從本地主機到遠端主機的傳輸控制協議(TCP)連線。該工具至少自2009年起就已經在網際網路上免費提供，並且經常能夠在針對政府和行業目標的攻擊活動中發現其身影。

HTran可以將自身注入正在執行的程序並安裝rootkit來隱藏與主機作業系統的網路連線。使用這些功能還可以建立Windows登錄檔項，以確保HTran保持對受害者網路的持久訪問。

防禦建議

現代的、經過正確配置和仔細審查的網路監控工具和防火牆，通常能夠檢測出來自HTran等工具的未經授權的連線。此外，NCSC指出，HTran還包括一個對網路防禦者有用的除錯條件。在目的地不可用的情況下，HTran會使用以下格式生成錯誤訊息：sprint(buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2);該錯誤訊息會以明文形式中繼到連線客戶端中。網路防禦者可以監視該錯誤訊息，以便檢測自身環境中活躍的HTran例項。

總結

不可否認，這確實是一篇很棒的報告，突出了攻擊者如何使用最簡單的方法來危害其受害者，以及這些工具如何變得越來越有用，能夠幫助攻擊者降低攻擊成本。

雖然，這些工具開發初衷通常並非用於惡意企圖，而是幫助網路管理員和滲透測試人員查缺補漏，但是，漸漸地，這些工具自身所具備的強大特性卻吸引了越累越多惡意行為者的關注，並開始頻繁地將其用於惡意攻擊活動中。

最後，NCSC表示，事實上，只需要通過一些基礎的網路衛生措施，就可以幫助公司實現其業務目標並有效地抵禦這些攻擊。這些基礎的網路衛生措施包括網路分割槽、確保安裝防病毒軟體、及時更新補丁程式，以及針對面向網際網路的系統進行積極地監控管理等等。