近期，由美國、英國、澳大利亞、加拿大和新西蘭的情報機構組成的五眼聯(lián)盟(Five Eyes)發(fā)布了一份報告，該報告針對全球發(fā)生的網(wǎng)絡安全事件進行研究之后發(fā)現(xiàn)有五款公開的黑客工具被惡意利用地最頻繁，并同時給企業(yè)和國家發(fā)出警告，提醒做好防范措施。

報告中提到的黑客工具，對于滲透測試人員而言可能不不陌生，然而對于企業(yè)安全防御工作人而言的價值不言而喻。研究旨在讓企業(yè)認識到所面臨的威脅，從而更好地準備好防御措施。這五款工具如下：

• 1.遠程訪問木馬: JBiFrost
• 2.Webshell: China Chopper
• 3.憑證竊取工具: Mimikatz
• 4.橫向移動工具: PowerShell Empire
• 5.命令和控制混淆及滲透工具: HUC 數(shù)據(jù)發(fā)包器

JBiFrost

JBiFrost 是Adwind RAT的變體，其根源可以追溯到2012年的Frutas RAT。這是一種基于Java的，跨平臺、多功能的工具，能夠?qū)indows，Linux，MAC OS X和Android等多個系統(tǒng)造成威脅。JBiFrost RAT通常由網(wǎng)絡罪犯和低技能威脅參與者使用，但其功能可以很容易地適應國家贊助的威脅參與者使用，向受害者提供惡意RAT，以獲取進一步利用的遠程訪問權限，或竊取有價值的信息，如銀行憑證，知識產(chǎn)權或PII。

China Chopper

China Chopper是一個公開的webshel​​l工具，自2012年以來一直廣泛使用。五眼聯(lián)盟發(fā)現(xiàn)威脅參與者已經(jīng)開始使用China Chopper遠程訪問受到攻擊的Web服務器，它提供文件和目錄管理，以及訪問受感染設備上的虛擬終端等功能。由于China Chopper的大小僅為4 KB，并且具有易于修改的有效負載，因此網(wǎng)絡防御者很難進行檢測和緩解。

Mimikatz

Mimikatz 于2007年開發(fā)，主要用于攻擊者收集登錄目標Windows計算機的其他用戶的憑據(jù)。它通過在名為Local Security Authority Subsystem Service(LSASS)的Windows進程中訪問內(nèi)存中的憑據(jù)來實現(xiàn)此目的。雖然它最初并不是一種黑客攻擊工具，但近年來，Mimikatz被很多攻擊者用于惡意目的，可能會嚴重破壞配置不當?shù)木W(wǎng)絡安全性。

PowerShell Empire

PowerShell Empire是后開發(fā)或橫向移動工具的一個例子。它旨在允許攻擊者(或滲透測試人員)在獲得初始訪問權限后在網(wǎng)絡中移動。PowerShell Empire還可用于生成惡意文檔和可執(zhí)行文件，以便利用社交工程訪問網(wǎng)絡。PowerShell Empire在敵對的國家行為者和有組織的犯罪分子中越來越受歡迎。近年來，我們已經(jīng)看到它在全球范圍內(nèi)用于各種各樣的網(wǎng)絡事件。

HUC數(shù)據(jù)包發(fā)送器

HUC數(shù)據(jù)包發(fā)送器(HTran)是一種代理工具，用于攔截和重定向從本地主機到遠程主機的傳輸控制協(xié)議(TCP)連接。自2009年以來，該工具已在互聯(lián)網(wǎng)上免費提供。在政府和行業(yè)目標的攻擊中，經(jīng)常觀察到HTran的使用。HTran可以將自身注入正在運行的進程并安裝rootkit來隱藏與主機操作系統(tǒng)的網(wǎng)絡連接。使用這些功能還可以創(chuàng)建Windows注冊表項，以確保HTran保持對受害者網(wǎng)絡的持久訪問。

這些工具本身常常并非惡意，可由測試人員合法用于漏洞查找，但也可被惡意用于入侵網(wǎng)絡、執(zhí)行命令并竊取數(shù)據(jù)。英國國家安全中心(NCSC)表示結合使用這些工具導致更難以檢測。NCSC 表示，“很多工具都是和其它工具結合使用，使得網(wǎng)絡防御人員面臨的挑戰(zhàn)加大，已經(jīng)發(fā)現(xiàn)國家黑客和技能水平不同的犯罪分子利用這些工具。”

NCSC 表示，只需采取一些簡單的措施就能有效抵御這些攻擊。關鍵的抵御措施包括多因素認證、網(wǎng)絡分區(qū)、安全監(jiān)控和打補丁。所有的這些內(nèi)容都和 NCSC 的核心安全建議指南吻合。