10月12日，五眼情報(bào)機(jī)構(gòu) (美國(guó), 英國(guó), 加拿大, 澳大利亞和新西蘭) 發(fā)布了一份聯(lián)合報(bào)告, 詳細(xì)介紹了一些流行黑客工具，提供了有關(guān)最受歡迎的黑客工具系列的技術(shù)細(xì)節(jié), 以及檢測(cè)和中和涉及他們的攻擊的方法。

澳大利亞網(wǎng)絡(luò)安全中心 (ACSC)、加拿大網(wǎng)絡(luò)安全中心(CCCS)、新西蘭國(guó)家網(wǎng)絡(luò)安全中心(NZ NCSC)、新西蘭CERT、英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(UK NCSC)、美國(guó)國(guó)家網(wǎng)絡(luò)安全和通信集成中心 (NCCIC)等共同完成了這項(xiàng)報(bào)告。

[[248085]]

報(bào)告強(qiáng)調(diào)指出了五個(gè)公開可用的工具, 它們?cè)谑澜绺鞯刈罱木W(wǎng)絡(luò)事件中被用于惡意用途。五工具是:

• Remote Access Trojan: JBiFrost
• Webshell: China Chopper
• Credential Stealer: Mimikatz
• Lateral Movement Framework: PowerShell Empire
• C2 Obfuscation and Exfiltration: HUC Packet Transmitter

為了幫助網(wǎng)絡(luò)維護(hù)者和系統(tǒng)管理員的工作, 報(bào)告還提供有關(guān)這些工具檢測(cè)和防范的建議。

JBiFrost是個(gè)基于java的、跨平臺(tái)的、多功能工具，屬于Adwind 后門的變種。它對(duì)幾個(gè)不同的操作系統(tǒng)構(gòu)成威脅, 包括 Windows、Linux、MAC OS X 和 Android。很多型的攻擊者都使用了這種工具方法, 從受國(guó)家支持的黑客到低技能的騙子，包括APT10。

報(bào)告提到許多黑客會(huì)在橫向滲透中使用到PowerShell，及流行工具M(jìn)imikatz。Mimikatz常被攻擊者用來提升特權(quán)、收獲憑據(jù)、查找附近的主機(jī)和在目標(biāo)網(wǎng)絡(luò)上橫向移動(dòng)。

China Chopper是一個(gè)代碼注入的 web shell，在 HTTP POST 命令中執(zhí)行 Microsoft. NET 代碼。它體積輕巧 (4K), 廣泛應(yīng)用于2012年以來的網(wǎng)絡(luò)攻擊中。APT組織Leviathan. aka TEMP.Periscope 用之攻擊工程、航海等機(jī)構(gòu)、實(shí)體。

HUC Packet Transmitter是 HUC 數(shù)據(jù)包發(fā)送器 (HTran), 攻擊者可以利用這些信息來混淆與意圖繞過安全控制和規(guī)避檢測(cè)的通信。

報(bào)告指出：本報(bào)告中介紹的單個(gè)工具是威脅參與者使用的工具類型的有限示例。在規(guī)劃網(wǎng)絡(luò)防御時(shí), 您不應(yīng)認(rèn)為這是一個(gè)詳盡的列表。它們的廣泛可用性為網(wǎng)絡(luò)防御工作帶來了挑戰(zhàn)。