近期，由美國(guó)、英國(guó)、澳大利亞、加拿大和新西蘭的情報(bào)機(jī)構(gòu)組成的五眼聯(lián)盟(Five Eyes)發(fā)布了一份報(bào)告，該報(bào)告針對(duì)全球發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行研究之后發(fā)現(xiàn)有五款公開(kāi)的黑客工具被惡意利用地最頻繁，并同時(shí)給企業(yè)和國(guó)家發(fā)出警告，提醒做好防范措施。

報(bào)告中提到的黑客工具，對(duì)于滲透測(cè)試人員而言可能不不陌生，然而對(duì)于企業(yè)安全防御工作人而言的價(jià)值不言而喻。研究旨在讓企業(yè)認(rèn)識(shí)到所面臨的威脅，從而更好地準(zhǔn)備好防御措施。這五款工具如下：
1.遠(yuǎn)程訪問(wèn)木馬: JBiFrost
2.Webshell: China Chopper
3.憑證竊取工具: Mimikatz
4.橫向移動(dòng)工具: PowerShell Empire
5.命令和控制混淆及滲透工具: HUC 數(shù)據(jù)發(fā)包器
JBiFrost
JBiFrost 是Adwind RAT的變體，其根源可以追溯到2012年的Frutas RAT。這是一種基于Java的，跨平臺(tái)、多功能的工具，能夠?qū)?a target="_blank" href="http://www.liuyangsem.com" class="UBBWordLink">Windows，Linux，MAC OS X和Android等多個(gè)系統(tǒng)造成威脅。JBiFrost RAT通常由網(wǎng)絡(luò)罪犯和低技能威脅參與者使用，但其功能可以很容易地適應(yīng)國(guó)家贊助的威脅參與者使用，向受害者提供惡意RAT，以獲取進(jìn)一步利用的遠(yuǎn)程訪問(wèn)權(quán)限，或竊取有價(jià)值的信息，如銀行憑證，知識(shí)產(chǎn)權(quán)或PII。
China Chopper
China Chopper是一個(gè)公開(kāi)的webshel​​l工具，自2012年以來(lái)一直廣泛使用。五眼聯(lián)盟發(fā)現(xiàn)威脅參與者已經(jīng)開(kāi)始使用China Chopper遠(yuǎn)程訪問(wèn)受到攻擊的Web服務(wù)器，它提供文件和目錄管理，以及訪問(wèn)受感染設(shè)備上的虛擬終端等功能。由于China Chopper的大小僅為4 KB，并且具有易于修改的有效負(fù)載，因此網(wǎng)絡(luò)防御者很難進(jìn)行檢測(cè)和緩解。
Mimikatz
Mimikatz 于2007年開(kāi)發(fā)，主要用于攻擊者收集登錄目標(biāo)Windows計(jì)算機(jī)的其他用戶(hù)的憑據(jù)。它通過(guò)在名為L(zhǎng)ocal Security Authority Subsystem Service（LSASS）的Windows進(jìn)程中訪問(wèn)內(nèi)存中的憑據(jù)來(lái)實(shí)現(xiàn)此目的。雖然它最初并不是一種黑客攻擊工具，但近年來(lái)，Mimikatz被很多攻擊者用于惡意目的，可能會(huì)嚴(yán)重破壞配置不當(dāng)?shù)木W(wǎng)絡(luò)安全性。
PowerShell Empire
PowerShell Empire是后開(kāi)發(fā)或橫向移動(dòng)工具的一個(gè)例子。它旨在允許攻擊者（或滲透測(cè)試人員）在獲得初始訪問(wèn)權(quán)限后在網(wǎng)絡(luò)中移動(dòng)。PowerShell Empire還可用于生成惡意文檔和可執(zhí)行文件，以便利用社交工程訪問(wèn)網(wǎng)絡(luò)。PowerShell Empire在敵對(duì)的國(guó)家行為者和有組織的犯罪分子中越來(lái)越受歡迎。近年來(lái)，我們已經(jīng)看到它在全球范圍內(nèi)用于各種各樣的網(wǎng)絡(luò)事件。
HUC數(shù)據(jù)包發(fā)送器
HUC數(shù)據(jù)包發(fā)送器（HTran）是一種代理工具，用于攔截和重定向從本地主機(jī)到遠(yuǎn)程主機(jī)的傳輸控制協(xié)議（TCP）連接。自2009年以來(lái)，該工具已在互聯(lián)網(wǎng)上免費(fèi)提供。在政府和行業(yè)目標(biāo)的攻擊中，經(jīng)常觀察到HTran的使用。HTran可以將自身注入正在運(yùn)行的進(jìn)程并安裝rootkit來(lái)隱藏與主機(jī)操作系統(tǒng)的網(wǎng)絡(luò)連接。使用這些功能還可以創(chuàng)建Windows注冊(cè)表項(xiàng)，以確保HTran保持對(duì)受害者網(wǎng)絡(luò)的持久訪問(wèn)。
這些工具本身常常并非惡意，可由測(cè)試人員合法用于漏洞查找，但也可被惡意用于入侵網(wǎng)絡(luò)、執(zhí)行命令并竊取數(shù)據(jù)。英國(guó)國(guó)家安全中心（NCSC）表示結(jié)合使用這些工具導(dǎo)致更難以檢測(cè)。NCSC 表示，“很多工具都是和其它工具結(jié)合使用，使得網(wǎng)絡(luò)防御人員面臨的挑戰(zhàn)加大，已經(jīng)發(fā)現(xiàn)國(guó)家黑客和技能水平不同的犯罪分子利用這些工具。”
NCSC 表示，只需采取一些簡(jiǎn)單的措施就能有效抵御這些攻擊。關(guān)鍵的抵御措施包括多因素認(rèn)證、網(wǎng)絡(luò)分區(qū)、安全監(jiān)控和打補(bǔ)丁。所有的這些內(nèi)容都和 NCSC 的核心安全建議指南吻合。
如果想查看這份報(bào)告的詳細(xì)信息以及相應(yīng)的防御措施，可以跳轉(zhuǎn) US-Cert 查看。