近期，由美国、英国、澳大利亚、加拿大和新西兰的情报机构组成的五眼联盟(Five Eyes)发布了一份报告，该报告针对全球发生的网络安全事件进行研究之后发现有五款公开的黑客工具被恶意利用地最频繁，并同时给企业和国家发出警告，提醒做好防范措施。

 

报告中提到的黑客工具，对于渗透测试人员而言可能不不陌生，然而对于企业安全防御工作人而言的价值不言而喻。研究旨在让企业认识到所面临的威胁，从而更好地准备好防御措施。这五款工具如下：

1.远程访问木马: JBiFrost

2.Webshell: China Chopper

3.凭证窃取工具: Mimikatz

4.横向移动工具: PowerShell Empire

5.命令和控制混淆及渗透工具: HUC 数据发包器

JBiFrost

JBiFrost 是Adwind RAT的变体，其根源可以追溯到2012年的Frutas RAT。这是一种基于Java的，跨平台、多功能的工具，能够对Windows，Linux，MAC OS X和Android等多个系统造成威胁。JBiFrost RAT通常由网络罪犯和低技能威胁参与者使用，但其功能可以很容易地适应国家赞助的威胁参与者使用，向受害者提供恶意RAT，以获取进一步利用的远程访问权限，或窃取有价值的信息，如银行凭证，知识产权或PII。

China Chopper

China Chopper是一个公开的webshell工具，自2012年以来一直广泛使用。五眼联盟发现威胁参与者已经开始使用China Chopper远程访问受到攻击的Web服务器，它提供文件和目录管理，以及访问受感染设备上的虚拟终端等功能。由于China Chopper的大小仅为4 KB，并且具有易于修改的有效负载，因此网络防御者很难进行检测和缓解。

Mimikatz

Mimikatz 于2007年开发，主要用于攻击者收集登录目标Windows计算机的其他用户的凭据。它通过在名为Local Security Authority Subsystem Service（LSASS）的Windows进程中访问内存中的凭据来实现此目的。虽然它最初并不是一种黑客攻击工具，但近年来，Mimikatz被很多攻击者用于恶意目的，可能会严重破坏配置不当的网络安全性。

PowerShell Empire

PowerShell Empire是后开发或横向移动工具的一个例子。它旨在允许攻击者（或渗透测试人员）在获得初始访问权限后在网络中移动。PowerShell Empire还可用于生成恶意文档和可执行文件，以便利用社交工程访问网络。PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中越来越受欢迎。近年来，我们已经看到它在全球范围内用于各种各样的网络事件。

HUC数据包发送器

HUC数据包发送器（HTran）是一种代理工具，用于拦截和重定向从本地主机到远程主机的传输控制协议（TCP）连接。自2009年以来，该工具已在互联网上免费提供。在政府和行业目标的攻击中，经常观察到HTran的使用。HTran可以将自身注入正在运行的进程并安装rootkit来隐藏与主机操作系统的网络连接。使用这些功能还可以创建Windows注册表项，以确保HTran保持对受害者网络的持久访问。

这些工具本身常常并非恶意，可由测试人员合法用于漏洞查找，但也可被恶意用于入侵网络、执行命令并窃取数据。英国国家安全中心（NCSC）表示结合使用这些工具导致更难以检测。NCSC 表示，“很多工具都是和其它工具结合使用，使得网络防御人员面临的挑战加大，已经发现国家黑客和技能水平不同的犯罪分子利用这些工具。”

NCSC 表示，只需采取一些简单的措施就能有效抵御这些攻击。关键的抵御措施包括多因素认证、网络分区、安全监控和打补丁。所有的这些内容都和 NCSC 的核心安全建议指南吻合。

如果想查看这份报告的详细信息以及相应的防御措施，可以跳转 US-Cert 查看。