使用模糊或隨機名稱創(chuàng)建新文件和目錄；

顧名思義，“web”的含義是顯然需要服務器開放web服務，“shell”的含義是取得對服務器某種程度上操作權限。“webshell”常常被稱為入侵者通過網(wǎng)站端口對網(wǎng)站服務器的某種程度上操作的權限。“中國菜刀”就是一種應用非常廣的webshell，其大小僅有4kb。

以最近的一個攻擊案件為例：2017年，黑客組織APT19在多起針對跨國法律與投資公司的釣魚攻擊活動，就使用了嵌入宏的Microsoft Excel文檔（XLSM），而該文檔就是由PowerShell Empire生成的。

嘗試連接已知的惡意IP地址；

HUC數(shù)據(jù)包發(fā)送器（HTran）是一種代理工具，用于攔截和重定向從本地主機到遠程主機的傳輸控制協(xié)議（TCP）連接。該工具至少自2009年起就已經(jīng)在互聯(lián)網(wǎng)上免費提供，并且經(jīng)常能夠在針對政府和行業(yè)目標的攻擊活動中發(fā)現(xiàn)其身影。

由于它是構建在一個通用的合法應用程序（PowerShell）上，并且?guī)缀蹩梢酝耆趦却嬷羞\行，所以使用傳統(tǒng)的防病毒工具很難在網(wǎng)絡上檢測到Empire。NCSC指出，PowerShell Empire在敵對的國家行為者和有組織的犯罪分子中已經(jīng)變得越來越受歡迎。

2017年，Mimikatz 重新回到了人們的視線中，它成為了 NotPetya 和 BadRabbit的組成部分，而這兩個勒索蠕蟲已經(jīng)擊垮了烏克蘭，并且蔓延到整個歐洲、俄羅斯和美國。其中，僅 NotPetya 就導致了馬士基、默克和聯(lián)邦快遞等公司數(shù)千臺電腦的癱瘓，已經(jīng)造成 10 億多美元的損失。

Mimikatz 能在極短的時間內從計算機內存中抓取 Windows 用戶的密碼，從而獲得該計算機的訪問權或者受害人在網(wǎng)絡上的其他訪問權。如今，亞洲服務器租用 歐洲服務器，Mimikatz 已經(jīng)成為一種無處不在的黑客滲透工具，入侵者們一旦打開缺口，就能迅速從一臺聯(lián)網(wǎng)設備跳到下一臺。

有些木馬程序被稱為遠程訪問木馬，被設計用于遠程操縱用戶的計算機，讓黑客可以完全控制。有些則可能有不同目的，例如竊取個人信息，側錄鍵盤，甚至將受害者計算機作為僵尸網(wǎng)絡的一部分。

感染跡象包括：

無法打開Windows注冊表編輯器或任務管理；

事實上，最初Benjamin Delpy只是將Mimikatz作副項目來開發(fā)，歐洲服務器租用 云服務器，旨在更加了解Windows的安全性能和C語言，同時意在向微軟證明Windows密碼中存在的安全漏洞。但也正如Delpy所言，雖然Mimikatz不是為攻擊者設計的，但是它卻幫助了他們，任何一個事物，有利就有弊。由于Mimikatz工具功能強大、多樣且開源的特性，允許惡意行為者和滲透測試人員開發(fā)自定義插件，因此，近年來開始頻繁地被眾多攻擊者用于惡意目的。

2. 中國菜刀（China Chopper）

防御建議

雖然，這些工具開發(fā)初衷通常并非用于惡意企圖，而是幫助網(wǎng)絡管理員和滲透測試人員查缺補漏，但是，漸漸地，這些工具自身所具備的強大特性卻吸引了越累越多惡意行為者的關注，并開始頻繁地將其用于惡意攻擊活動中。

據(jù)悉，JBiFrost RAT是一款基于Java的、跨平臺且多功能的遠程訪問木馬。它可以對多種不同的操作系統(tǒng)構成威脅，具體包括Windows、Linux、MAC OS X以及Android。JBiFrost允許惡意行為者在網(wǎng)絡上橫向移動，或安裝其他惡意軟件。它主要通過網(wǎng)絡釣魚電子郵件作為附件進行傳播。

首先，防御者應該禁止在LSASS內存中存儲明文密碼。這是Windows 8.1 / Server 2012 R2及更高版本的默認行為，但用戶可以在安裝了相關安全修補程序的舊系統(tǒng)上更改這種默認設置。

防御建議

我們經(jīng)常聽到大家說網(wǎng)絡被攻擊了，最近也是越發(fā)頻繁，網(wǎng)絡被攻擊是非常棘手的問題，夢飛科技專注于服務器租用/托管18年，接下來小編來談談最常用的黑客攻擊工具以及防御方法，希望對你有幫助。

防御建議

防御建議