使用模糊或隨機(jī)名稱創(chuàng)建新文件和目錄;
顧名思義,“web”的含義是顯然需要服務(wù)器開放web服務(wù),“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。“webshell”常常被稱為入侵者通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。“中國菜刀”就是一種應(yīng)用非常廣的webshell,其大小僅有4kb。
以最近的一個攻擊案件為例:2017年,黑客組織APT19在多起針對跨國法律與投資公司的釣魚攻擊活動,就使用了嵌入宏的Microsoft Excel文檔(XLSM),而該文檔就是由PowerShell Empire生成的。
嘗試連接已知的惡意IP地址;
HUC數(shù)據(jù)包發(fā)送器(HTran)是一種代理工具,用于攔截和重定向從本地主機(jī)到遠(yuǎn)程主機(jī)的傳輸控制協(xié)議(TCP)連接。該工具至少自2009年起就已經(jīng)在互聯(lián)網(wǎng)上免費(fèi)提供,并且經(jīng)常能夠在針對政府和行業(yè)目標(biāo)的攻擊活動中發(fā)現(xiàn)其身影。
由于它是構(gòu)建在一個通用的合法應(yīng)用程序(PowerShell)上,并且?guī)缀蹩梢酝耆趦?nèi)存中運(yùn)行,所以使用傳統(tǒng)的防病毒工具很難在網(wǎng)絡(luò)上檢測到Empire。NCSC指出,PowerShell Empire在敵對的國家行為者和有組織的犯罪分子中已經(jīng)變得越來越受歡迎。
2017年,Mimikatz 重新回到了人們的視線中,它成為了 NotPetya 和 BadRabbit的組成部分,而這兩個勒索蠕蟲已經(jīng)擊垮了烏克蘭,并且蔓延到整個歐洲、俄羅斯和美國。其中,僅 NotPetya 就導(dǎo)致了馬士基、默克和聯(lián)邦快遞等公司數(shù)千臺電腦的癱瘓,已經(jīng)造成 10 億多美元的損失。
Mimikatz 能在極短的時間內(nèi)從計(jì)算機(jī)內(nèi)存中抓取 Windows 用戶的密碼,從而獲得該計(jì)算機(jī)的訪問權(quán)或者受害人在網(wǎng)絡(luò)上的其他訪問權(quán)。如今,亞洲服務(wù)器租用 歐洲服務(wù)器,Mimikatz 已經(jīng)成為一種無處不在的黑客滲透工具,入侵者們一旦打開缺口,就能迅速從一臺聯(lián)網(wǎng)設(shè)備跳到下一臺。
有些木馬程序被稱為遠(yuǎn)程訪問木馬,被設(shè)計(jì)用于遠(yuǎn)程操縱用戶的計(jì)算機(jī),讓黑客可以完全控制。有些則可能有不同目的,例如竊取個人信息,側(cè)錄鍵盤,甚至將受害者計(jì)算機(jī)作為僵尸網(wǎng)絡(luò)的一部分。
感染跡象包括:
無法打開Windows注冊表編輯器或任務(wù)管理;
事實(shí)上,最初Benjamin Delpy只是將Mimikatz作副項(xiàng)目來開發(fā),歐洲服務(wù)器租用 云服務(wù)器,旨在更加了解Windows的安全性能和C語言,同時意在向微軟證明Windows密碼中存在的安全漏洞。但也正如Delpy所言,雖然Mimikatz不是為攻擊者設(shè)計(jì)的,但是它卻幫助了他們,任何一個事物,有利就有弊。由于Mimikatz工具功能強(qiáng)大、多樣且開源的特性,允許惡意行為者和滲透測試人員開發(fā)自定義插件,因此,近年來開始頻繁地被眾多攻擊者用于惡意目的。
2. 中國菜刀(China Chopper)
防御建議
雖然,這些工具開發(fā)初衷通常并非用于惡意企圖,而是幫助網(wǎng)絡(luò)管理員和滲透測試人員查缺補(bǔ)漏,但是,漸漸地,這些工具自身所具備的強(qiáng)大特性卻吸引了越累越多惡意行為者的關(guān)注,并開始頻繁地將其用于惡意攻擊活動中。
據(jù)悉,JBiFrost RAT是一款基于Java的、跨平臺且多功能的遠(yuǎn)程訪問木馬。它可以對多種不同的操作系統(tǒng)構(gòu)成威脅,具體包括Windows、Linux、MAC OS X以及Android。JBiFrost允許惡意行為者在網(wǎng)絡(luò)上橫向移動,或安裝其他惡意軟件。它主要通過網(wǎng)絡(luò)釣魚電子郵件作為附件進(jìn)行傳播。
首先,防御者應(yīng)該禁止在LSASS內(nèi)存中存儲明文密碼。這是Windows 8.1 / Server 2012 R2及更高版本的默認(rèn)行為,但用戶可以在安裝了相關(guān)安全修補(bǔ)程序的舊系統(tǒng)上更改這種默認(rèn)設(shè)置。
防御建議
我們經(jīng)常聽到大家說網(wǎng)絡(luò)被攻擊了,最近也是越發(fā)頻繁,網(wǎng)絡(luò)被攻擊是非常棘手的問題,夢飛科技專注于服務(wù)器租用/托管18年,接下來小編來談?wù)勛?a href="http://www.qzkangyuan.com/html/help/software/20180627/25027.html">常用的黑客攻擊工具以及防御方法,希望對你有幫助。
防御建議
防御建議
