Les cinq outils de piratage les plus couramment utilisés, et comment défendre

2019-05-12 14:31:40

Récemment, le Centre National Cyber Security britannique (NCSC) dans leur rapport conjoint avec « cinq » partenaires du renseignement (Australie, Canada, Nouvelle-Zélande et les États-Unis), le plus couramment utilisé et publié une liste publique des outils et des techniques de piratage.

Il est entendu que cinq (Five Eyes), fait référence à des organisations multinationales contrôlent la guerre mondiale anglo-américaine II a donné naissance à un certain nombre d'accords secrets « UKUSA ». L 'organisation se compose des États-Unis, la Grande-Bretagne, l'Australie, le Canada et les agences de renseignement néo-zélandais. alliance dans cinq pays espions internes pour assurer l'interopérabilité des informations de renseignement, pour voler des données commerciales entre ces pays, les ministères et part des entreprises.

L'objectif fondamental du rapport conjoint est conçu pour les administrateurs système d'aide et les défenseurs du réseau afin de mieux organiser leur travail. En outre, le rapport fournit également des limites à l'efficacité de ces outils, ainsi que pour détecter ses recommandations pour une utilisation sur le réseau.

« Cinq » Top5: l'outil de piratage le plus utilisé

Le rapport couvre cinq grandes catégories, y compris l'accès à distance de Troie (RAT), coquilles web, programme de vol des titres de compétences, le déplacement latéral du cadre et de la confusion C2.

Et il se concentre principalement JBiFrost, Chine Chopper, Mimikatz, Empire PowerShell et HTran ce 5 outils de hacking.

Le rapport a réitéré la nécessité pour la santé de base et la sécurité, mettant l'accent sur les systèmes utilisent souvent compromis pour les intrusions des failles de sécurité communes telles que les vulnérabilités logicielles non corrigées, et ainsi de suite. Les outils suivants joueront un rôle dans l'invasion, une fois atteint, permettre à un attaquant de poursuivre leur intention malveillante dans le système de la victime.

1. JBiFrost à distance de Troie d'accès (RAT)

Chevaux de Troie (Trojan) Le mot est dérivé de l'histoire classique de la guerre de Troie, un groupe de soldats grecs caché dans un énorme chevaux de Troie, et dans la ville de Troie, puis a sauté à une attaque contre l'ennemi. Dans le monde informatique, il est une sorte de malware cheval de Troie entrer secrètement et l'installer sur votre ordinateur via e-mail ou une page Web malveillante. Une fois à l'intérieur, le logiciel malveillant peut faire toutes sortes de mauvaises choses.

Certains chevaux de Troie sont appelés chevaux de Troie d'accès à distance, conçus pour les ordinateurs à distance pour manipuler l'utilisateur, de sorte que les pirates peuvent contrôler complètement. D'autres peuvent avoir différentes fins, par exemple pour voler des informations personnelles, l'écrémage du clavier, et même les victimes ordinateur dans le cadre d'un botnet.

Centre britannique National Cyber Security (NCSC) a déclaré que même si il y a beaucoup de monde RAT actif, mais de plus en plus JBiFrost a commencé à utiliser dans des attaques ciblées contre les propriétaires d'infrastructures critiques nationales et les opérateurs de la chaîne d'approvisionnement .

Il est rapporté que, JBiFrost RAT est un basé sur Java, multi-plateforme et multi-fonctions d'accès à distance des chevaux de Troie. Il peut constituer une menace pour un certain nombre de différents systèmes d'exploitation, y compris Windows, Linux, MAC OS X et Android. JBiFrost mauvais acteurs permet un mouvement latéral dans le réseau, ou tout autre logiciel malveillant installé. Il se propage principalement par phishing e-mail comme une pièce jointe.

Les signes d'infection comprennent:

  • Impossible de redémarrer l'ordinateur en mode sans échec;
  • Impossible d'ouvrir l'Éditeur du Registre Windows ou la gestion des tâches;
  • activité disque et / ou le trafic réseau a augmenté de manière significative;
  • l'adresse IP d'une tentative malveillante pour connecter le connu;
  • noms aléatoires floue ou créer de nouveaux fichiers et répertoires;

défense recommandé

NCSC dit patches de patch et mise à jour sur une base régulière, et l'utilisation de programmes anti-virus modernes peuvent empêcher la plupart des variantes. Les organisations devraient également mettre en uvre la détection anti-virus supplémentaires pour les actifs de réseau critiques. En outre, le phishing formation de sensibilisation des utilisateurs et des employés est également crucial.

2. hachoir chinois (Chine Chopper)

Comme son nom l'indique, « web » du sens est un besoin évident d'un service de serveur Web ouvert, « shell » qui signifie que le serveur est d'obtenir l'autorisation d'exploitation dans une certaine mesure. « Webshell » souvent désigné comme site d'autorité portuaire par un intrus en quelque sorte d'opération de serveur de site. « Hachoir chinois » est une application très large de webshell, seulement 4kb sa taille.

Une fois que l'appareil a été compromise, « couteau de cuisine chinoise, » vous pouvez utiliser l'outil de récupération fichier « wget » pour télécharger des fichiers depuis Internet vers la cible et modifier, supprimer, copier, renommer et changer l'horodatage du fichier existant.

La détection et l'atténuation, « chopper chinois » La méthode la plus efficace est que l'hôte lui-même, en particulier sur le serveur Web destiné au public. Sur un système d'exploitation basé sur Linux et Windows, il existe des moyens simples que vous pouvez utiliser la ligne de commande shell recherche Web de l'existence.

défense recommandé

Le rapport souligne que, afin de détecter de façon plus générale coquilles web, le défenseur du réseau devrait se concentrer sur le processus suspect sur le serveur Web pour effectuer (comme processus de génération binaire PHP), ou à partir du mode d'erreur serveur Web connexions réseau sortant.

3. Mimikatz

Mimikatz, développé par le programmeur français Benjamin Delpy en 2007, principalement par le biais des informations d'identification d'un autre utilisateur, appelé le service Local Security Authority Subsystem (LSASS) du processus d'ouverture de session Windows pour recueillir l'ordinateur cible de Windows.

Mimikatz peut saisir des mots de passe d'utilisateur Windows de mémoire de l'ordinateur dans une période de temps très court, de manière à obtenir l'accès aux autres ordinateurs ou l'accès à la victime sur le réseau. Aujourd'hui, Mimikatz est devenu une pénétration hacker outil omniprésent, l'intrus une fois qu'ils ouvrent l'espace, vous pouvez passer rapidement à la prochaine station à partir d'un périphérique en réseau.

2017, Mimikatz retourné à la vue du peuple, il est devenu une partie de NotPetya et BadRabbit, qui a été dévastée par deux vers le chantage en Ukraine, et la diffusion dans toute l'Europe, la Russie et les États-Unis. Parmi eux, seulement NotPetya a conduit Maersk, FedEx et d'autres sociétés Merck et des milliers d'ordinateurs paralysés, il a causé des pertes de plus de 1 milliard de dollars américains.

Computer Business Review, comme en pointe en mai, un grand nombre de mises à jour de sécurité pour Windows version 101803 sera empêché de lsass.exe voler des informations d'identification.

En fait, d'abord Benjamin Delpy juste Mimikatz comme projet adjoint à développer, vise à mieux comprendre la performance de la sécurité du langage Windows et C, tout en visant à prouver l'existence des failles de sécurité de mot de passe Microsoft Windows. Mais comme dit Delpy, bien que Mimikatz n'a pas été conçu pour l'attaquant, mais il les a aidés, une chose, bénéfique d'avoir des inconvénients. Étant donné que l'outil Mimikatz est puissant, et diverses fonctionnalités open source qui permettent plug-in développement testeurs de pénétration des acteurs malveillants et la coutume, par conséquent, ces dernières années ont commencé à souvent par de nombreux attaquants à des fins malveillantes.

défense recommandé

Tout d'abord, le défenseur devrait être interdit les mots de passe en texte clair stockés dans la mémoire LSASS. Ceci est un ordinateur Windows 8.1 / Server 2012 R2 versions et versions ultérieures du comportement par défaut, mais les utilisateurs peuvent modifier ce paramètre par défaut sur l'ancien système, les correctifs de sécurité liés à l'installation.

En second lieu, peu importe où ils ont trouvé des traces d'activités Mimikatz, vous devez mener une enquête rigoureuse, en raison de l'émergence de Mimikatz pour montrer que les attaquants sont infiltrent activement votre réseau. En outre, certaines des caractéristiques Mimikatz la nécessité d'utiliser un compte administrateur pour être efficace, vous devez donc veiller à ce que seuls les administrateurs autorisés compte en tant que besoin. En cas de besoin d'un accès administratif, vous devez appliquer « les principes de gestion d'accès. »

4. Empire PowerShell

Cadre Empire PowerShell (Empire) en 2015, est conçu pour être un outil de test de pénétration légitime, il est un outil PowerShell fin exploite proxy, mais aussi un artefact très puissant après le test de pénétration.

Il est conçu pour permettre à un attaquant (ou testeurs de pénétration) réseau mobile, après avoir obtenu l'accès initial. En outre, il est également utilisé pour mettre à niveau l'autorité d'obtenir des informations d'identification des fuites d'informations et un mouvement latéral dans le réseau. (Outils similaires comprennent Cobalt et Metasploit grève)

Parce qu'il est construit sur une des applications légitimes communes (PowerShell), et en cours d'exécution presque complètement en mémoire, l'utilisation de l'outil anti-virus traditionnel est difficile à détecter sur l'Empire réseau. NCSC a souligné, les acteurs PowerShell Empire State dans des régions hostiles et les criminels organisés sont devenus de plus en plus populaires.

Dans un cas récent d'attaque comme un exemple: en 2017, plus que dans l'organisation hacker APT19 contre la société juridique et les investissements transnationaux attaques de phishing, sur l'utilisation des documents Microsoft Excel (XLSM) macro intégrée, et le document est généré par l'Empire PowerShell a.

défense recommandé

NCSC dit que vous voulez identifier les scripts malveillants potentiels, ils devraient être entièrement enregistrées activités PowerShell. Cela devrait inclure des blocs de script et la journalisation des scripts PowerShell. En outre, en utilisant une signature de code de script, l'application et les combinaisons de whitelisting mode de langage de contraintes, il est possible de prévenir ou de limiter l'impact de PowerShell malveillant lors de l'invasion réussie peut causer.

5. émetteur de paquets de données HUC (HTran)

HUC émetteur de paquets de données (HTran) proxy est un outil pour l'interception et la redirection de l'hôte local pour une connexion de protocole de commande de transmission de l'hôte distant (TCP). Cela signifie au moins depuis 2009 a fourni gratuitement sur Internet, et est souvent en mesure de trouver son ombre dans des attaques contre des objectifs du gouvernement et de l'industrie.

HTran peut lui-même injecter dans l'exécution de processus et rootkit installé pour cacher la connexion avec le réseau du système d'exploitation hôte. Ces caractéristiques peuvent également créer une clé de Registre Windows pour vous assurer HTran maintenir un accès durable aux réseaux d'aide aux victimes.

défense recommandé

Moderne, correctement configuré et le contrôle des outils de surveillance de réseau et les pare-feu, il peut souvent être détectée sans autorisation des outils tels HTran de connexion. En outre, NCSC a souligné, HTran comprend également un réseau utile débogage des conditions de défenseur. Dans le cas où la destination est indisponible, HTran message d'erreur est généré en utilisant le format suivant: sprint (tampon, " connexion à% s:% erreur d \ r \ n », hôte, port 2), le message d'erreur sera transmise au client connecté au réseau en défenseurs des messages texte clair peut surveiller l'erreur, afin de détecter actif dans leur propre environnement. par exemple HTran.

résumé

Certes, cela est en effet un grand rapport, en soulignant les attaquants comment utiliser la meilleure façon de nuire à leurs victimes, et comment ces outils deviennent de plus en plus utile pour aider à réduire les coûts attaquant d'attaque.

Bien que l'intention initiale du développement de ces outils est souvent utilisé pour une intention malveillante, mais d'aider les administrateurs réseau et les testeurs de pénétration d'accès réseau, mais, peu à peu, son propre a les puissantes fonctionnalités de ces outils a attiré plus fatigué les plus mauvais acteurs attention, et il a commencé à utiliser fréquemment pour des activités malveillantes.

Enfin, dit NCSC, en fait, seulement besoin d'un certain réseau de base des mesures de santé, nous pouvons aider les entreprises à atteindre leurs objectifs d'affaires et efficacement contre ces attaques. Ces mesures comprennent la partition de réseau de réseau basé sur la santé, assurez-vous d'installer un logiciel antivirus, correctifs de mise à jour, ainsi que la surveillance active et la gestion des systèmes faisant face à Internet.

Auteur: Jasmine Reproduit de: https: //www.aqniu.com/tools-tech/40078.html

Chiu débuts en tant qu'ambassadeur de porte-parole de la publicité « endosseurs les tendances et les porte-paroles de l'industrie Valuation Standards d'affaires » publié
Précédent
Le chef du secrétaire du parti contrôlé demeure en possession de voitures de luxe, montres, armes, ivoire
Prochain
La nouvelle "ruée vers l'or": The Rise of Western Chine
GIF: Joe Wei handball envoyer des points, Yi Haluo nuit égaliseur
GIF: tir de pénalité Alan handball Jiang Zhe, 2-2 Chongqing Tianhai
top travailleur modèle de recherche dix de l'industrie des fonds libéré! Huaxia Fonds 4 mois de recherche des sociétés cotées 107 fois
Daily Planet | Facebook chiffrer l'acquisition du projet de monnaie « Balance » marque, n'a pas optimiste chaîne de blocs de Bitcoin Buffett veulent vraiment investir
Populaire neuf types de logiciels malveillants, vous savez?
Académie chinoise des candidats Wang Li génie sur la liste! En outre, ils ont ces dirigeants des sociétés cotées
Analyse simple virus enfants ours destructeur, aussi connu comme LOL [roi] l'aide et le traitement
Pas de place tout à coup a retenti « Sortez, » le voleur avait peur
L'école secondaire perméat l'ensemble du site [codage]
Coupe du Monde Féminine de demi-finales Aller joueurs ont perdu à l'IA « tableau d'étoiles Go » quatre victoires consécutives
Les sites de phishing se rappellent la destruction