我們經(jīng)常聽(tīng)到大家說(shuō)網(wǎng)絡(luò)被攻擊了,最近也是越發(fā)頻繁,網(wǎng)絡(luò)被攻擊是非常棘手的問(wèn)題,億恩科技專注于服務(wù)器租用/托管18年,接下來(lái)小編來(lái)談?wù)勛畛S玫暮诳凸艄ぞ咭约胺烙椒?,希望?duì)你有幫助。
我們經(jīng)常聽(tīng)到大家說(shuō)網(wǎng)絡(luò)被攻擊了,最近也是越發(fā)頻繁,網(wǎng)絡(luò)被攻擊是非常棘手的問(wèn)題,億恩科技專注于服務(wù)器租用/托管18年,接下來(lái)小編來(lái)談?wù)勛畛S玫暮诳凸艄ぞ咭约胺烙椒?,希望?duì)你有幫助。
1. JBiFrost遠(yuǎn)程訪問(wèn)木馬(RAT)
木馬(Trojan)這個(gè)詞源自于經(jīng)典的特洛伊戰(zhàn)爭(zhēng)故事,一群希臘士兵藏在一個(gè)巨大的木馬中,并進(jìn)入特洛伊城,然后跳出來(lái)大肆攻擊敵人。而在計(jì)算機(jī)世界里,木馬是種惡意軟件,通過(guò)電子郵件或惡意網(wǎng)頁(yè)偷偷進(jìn)入并安裝在你的計(jì)算機(jī)上。一旦進(jìn)入后,惡意軟件就可以做各種壞事了。
有些木馬程序被稱為遠(yuǎn)程訪問(wèn)木馬,被設(shè)計(jì)用于遠(yuǎn)程操縱用戶的計(jì)算機(jī),讓黑客可以完全控制。有些則可能有不同目的,例如竊取個(gè)人信息,側(cè)錄鍵盤(pán),甚至將受害者計(jì)算機(jī)作為僵尸網(wǎng)絡(luò)的一部分。
英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)表示,雖然有大量的RAT活躍于世,但是JBiFrost開(kāi)始越來(lái)越多地被用于針對(duì)關(guān)鍵國(guó)家基礎(chǔ)設(shè)施所有者及其供應(yīng)鏈運(yùn)營(yíng)商的針對(duì)性攻擊活動(dòng)之中。
據(jù)悉,JBiFrost RAT是一款基于Java的、跨平臺(tái)且多功能的遠(yuǎn)程訪問(wèn)木馬。它可以對(duì)多種不同的操作系統(tǒng)構(gòu)成威脅,具體包括Windows、Linux、MAC OS X以及Android。JBiFrost允許惡意行為者在網(wǎng)絡(luò)上橫向移動(dòng),或安裝其他惡意軟件。它主要通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件作為附件進(jìn)行傳播。
感染跡象包括:
無(wú)法以安全模式重新啟動(dòng)計(jì)算機(jī);
無(wú)法打開(kāi)Windows注冊(cè)表編輯器或任務(wù)管理;
磁盤(pán)活動(dòng)和/或網(wǎng)絡(luò)流量顯著增加;
嘗試連接已知的惡意IP地址;
使用模糊或隨機(jī)名稱創(chuàng)建新文件和目錄;
防御建議
NCSC表示,定期修補(bǔ)和更新補(bǔ)丁程序,以及使用現(xiàn)代防病毒程序可以阻止大多數(shù)變種。組織還應(yīng)該針對(duì)重要網(wǎng)絡(luò)資產(chǎn)實(shí)施額外的防病毒檢測(cè)。此外,培訓(xùn)用戶和企業(yè)員工的網(wǎng)絡(luò)釣魚(yú)意識(shí)也至關(guān)重要。
2. 中國(guó)菜刀(China Chopper)
顧名思義,“web”的含義是顯然需要服務(wù)器開(kāi)放web服務(wù),“shell”的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限?!皐ebshell”常常被稱為入侵者通過(guò)網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限?!爸袊?guó)菜刀”就是一種應(yīng)用非常廣的webshell,其大小僅有4kb。
一旦設(shè)備遭到入侵,“中國(guó)菜刀”就可以使用文件檢索工具“wget”將文件從Internet下載到目標(biāo),并編輯、刪除、復(fù)制、重命名以及更改現(xiàn)有文件的時(shí)間戳。
檢測(cè)和緩解“中國(guó)菜刀”最有效的方法在于主機(jī)自身,尤其是面向公眾的Web服務(wù)器上。在基于Linux和Windows的操作系統(tǒng)上,有一些簡(jiǎn)單的方法可以使用命令行搜索Web shell的存在。
防御建議
報(bào)告強(qiáng)調(diào),為了更廣泛地檢測(cè)web shells,網(wǎng)絡(luò)防御者應(yīng)該專注于發(fā)現(xiàn)Web服務(wù)器上的可疑進(jìn)程執(zhí)行(例如PHP二進(jìn)制文件生成進(jìn)程),或者來(lái)自Web服務(wù)器的錯(cuò)誤模式出站網(wǎng)絡(luò)連接。
3. Mimikatz
Mimikatz,由法國(guó)程序員Benjamin Delpy于2007年開(kāi)發(fā),主要通過(guò)名為L(zhǎng)ocal Security Authority Subsystem Service(LSASS)的Windows進(jìn)程收集登錄目標(biāo)Windows計(jì)算機(jī)的其他用戶的憑據(jù)。
Mimikatz 能在極短的時(shí)間內(nèi)從計(jì)算機(jī)內(nèi)存中抓取 Windows 用戶的密碼,從而獲得該計(jì)算機(jī)的訪問(wèn)權(quán)或者受害人在網(wǎng)絡(luò)上的其他訪問(wèn)權(quán)。如今,Mimikatz 已經(jīng)成為一種無(wú)處不在的黑客滲透工具,入侵者們一旦打開(kāi)缺口,就能迅速?gòu)囊慌_(tái)聯(lián)網(wǎng)設(shè)備跳到下一臺(tái)。
2017年,Mimikatz 重新回到了人們的視線中,它成為了 NotPetya 和 BadRabbit的組成部分,而這兩個(gè)勒索蠕蟲(chóng)已經(jīng)擊垮了烏克蘭,并且蔓延到整個(gè)歐洲、俄羅斯和美國(guó)。其中,僅 NotPetya 就導(dǎo)致了馬士基、默克和聯(lián)邦快遞等公司數(shù)千臺(tái)電腦的癱瘓,已經(jīng)造成 10 億多美元的損失。
正如計(jì)算機(jī)商業(yè)評(píng)論在5月份指出的那樣,Windows 10版本1803中的大量安全更新將可以阻止從lsass.exe竊取憑據(jù)。
事實(shí)上,最初Benjamin Delpy只是將Mimikatz作副項(xiàng)目來(lái)開(kāi)發(fā),旨在更加了解Windows的安全性能和C語(yǔ)言,同時(shí)意在向微軟證明Windows密碼中存在的安全漏洞。但也正如Delpy所言,雖然Mimikatz不是為攻擊者設(shè)計(jì)的,但是它卻幫助了他們,任何一個(gè)事物,有利就有弊。由于Mimikatz工具功能強(qiáng)大、多樣且開(kāi)源的特性,允許惡意行為者和滲透測(cè)試人員開(kāi)發(fā)自定義插件,因此,近年來(lái)開(kāi)始頻繁地被眾多攻擊者用于惡意目的。
防御建議
首先,防御者應(yīng)該禁止在LSASS內(nèi)存中存儲(chǔ)明文密碼。這是Windows 8.1 / Server 2012 R2及更高版本的默認(rèn)行為,但用戶可以在安裝了相關(guān)安全修補(bǔ)程序的舊系統(tǒng)上更改這種默認(rèn)設(shè)置。
其次,無(wú)論在何處發(fā)現(xiàn)了Mimikatz的活動(dòng)痕跡,您都應(yīng)該進(jìn)行嚴(yán)格的調(diào)查,因?yàn)镸imikatz的出現(xiàn)就表明攻擊者正在積極地滲透您的網(wǎng)絡(luò)。此外,Mimikatz的一些功能需要利用管理員賬戶來(lái)發(fā)揮效用,因此,您應(yīng)該確保僅根據(jù)需要授權(quán)管理員賬戶。在需要管理訪問(wèn)權(quán)限的情況下,您應(yīng)該應(yīng)用“權(quán)限訪問(wèn)管理原則”。
4. PowerShell Empire
PowerShell Empire框架(Empire)于2015年被設(shè)計(jì)為合法的滲透測(cè)試工具,是一個(gè)PowerShell后期漏洞利用代理工具,同時(shí)也是一款很強(qiáng)大的后滲透測(cè)神器。
它旨在允許攻擊者(或滲透測(cè)試人員)在獲得初始訪問(wèn)權(quán)限后在網(wǎng)絡(luò)中移動(dòng)。此外,它還可用于升級(jí)權(quán)限、獲取憑據(jù)、滲漏信息并在網(wǎng)絡(luò)中橫向移動(dòng)。(類(lèi)似工具包括Cobalt Strike和Metasploit)
由于它是構(gòu)建在一個(gè)通用的合法應(yīng)用程序(PowerShell)上,并且?guī)缀蹩梢酝耆趦?nèi)存中運(yùn)行,所以使用傳統(tǒng)的防病毒工具很難在網(wǎng)絡(luò)上檢測(cè)到Empire。NCSC指出,PowerShell Empire在敵對(duì)的國(guó)家行為者和有組織的犯罪分子中已經(jīng)變得越來(lái)越受歡迎。
以最近的一個(gè)攻擊案件為例:2017年,黑客組織APT19在多起針對(duì)跨國(guó)法律與投資公司的釣魚(yú)攻擊活動(dòng),就使用了嵌入宏的Microsoft Excel文檔(XLSM),而該文檔就是由PowerShell Empire生成的。
防御建議
NCSC表示,想要識(shí)別潛在的惡意腳本,就應(yīng)該全面記錄PowerShell活動(dòng)。這應(yīng)該包括腳本塊日志記錄和PowerShell腳本。此外,通過(guò)使用腳本代碼簽名、應(yīng)用程序白名單以及約束語(yǔ)言模式的組合,也能夠防止或限制惡意PowerShell在成功入侵時(shí)可能造成的影響。
5. HUC數(shù)據(jù)包發(fā)送器(HTran)
HUC數(shù)據(jù)包發(fā)送器(HTran)是一種代理工具,用于攔截和重定向從本地主機(jī)到遠(yuǎn)程主機(jī)的傳輸控制協(xié)議(TCP)連接。該工具至少自2009年起就已經(jīng)在互聯(lián)網(wǎng)上免費(fèi)提供,并且經(jīng)常能夠在針對(duì)政府和行業(yè)目標(biāo)的攻擊活動(dòng)中發(fā)現(xiàn)其身影。
HTran可以將自身注入正在運(yùn)行的進(jìn)程并安裝rootkit來(lái)隱藏與主機(jī)操作系統(tǒng)的網(wǎng)絡(luò)連接。使用這些功能還可以創(chuàng)建Windows注冊(cè)表項(xiàng),以確保HTran保持對(duì)受害者網(wǎng)絡(luò)的持久訪問(wèn)。
防御建議
現(xiàn)代的、經(jīng)過(guò)正確配置和仔細(xì)審查的網(wǎng)絡(luò)監(jiān)控工具和防火墻,通常能夠檢測(cè)出來(lái)自HTran等工具的未經(jīng)授權(quán)的連接。此外,NCSC指出,HTran還包括一個(gè)對(duì)網(wǎng)絡(luò)防御者有用的調(diào)試條件。在目的地不可用的情況下,HTran會(huì)使用以下格式生成錯(cuò)誤消息:sprint(buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2);該錯(cuò)誤消息會(huì)以明文形式中繼到連接客戶端中。網(wǎng)絡(luò)防御者可以監(jiān)視該錯(cuò)誤消息,以便檢測(cè)自身環(huán)境中活躍的HTran實(shí)例。
總結(jié)
不可否認(rèn),這確實(shí)是一篇很棒的報(bào)告,突出了攻擊者如何使用最簡(jiǎn)單的方法來(lái)危害其受害者,以及這些工具如何變得越來(lái)越有用,能夠幫助攻擊者降低攻擊成本。
雖然,這些工具開(kāi)發(fā)初衷通常并非用于惡意企圖,而是幫助網(wǎng)絡(luò)管理員和滲透測(cè)試人員查缺補(bǔ)漏,但是,漸漸地,這些工具自身所具備的強(qiáng)大特性卻吸引了越累越多惡意行為者的關(guān)注,并開(kāi)始頻繁地將其用于惡意攻擊活動(dòng)中。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900