李亦何

据外媒报道，在当今网络世界中，很多黑客工具可被公开使用，并且具有各种功能。有一些黑客工具可以免费从网络犯罪分子那里得到并且使用，而有一些工具可以从各种黑客论坛和暗网市场中获得。

hker.png (270.36 KB)

3-8-2021 21:28

根据数据统计，这些工具已被用来破坏包括卫生，金融，政府国防和许多其他部门在内的关键部门网络系统。威胁参与者每天都在学习新的策略和技术，以寻找新的方式并开发新的工具来维持其持久性并逃避安全系统的防御。以下是研究人员于近日公开的黑客最常用的5种公开的黑客工具，根据对这些工具的基本了解可以起到更好的黑客攻击防御作用。

RAT –远程访问木马 JBiFrost
远程访问木马提供了一个谁都可以对目标系统执行各种恶意活动的机会。特别是JBiFrost远程访问木马（RAT），它是功能比较强大的Adwind RAT变体之一，可为攻击者提供根访问权限。

另外，它包含许多功能，包括可用于安装后门和键盘记录器的功能，还有截屏并提取数据的功能。为防止后期研究人员的取证分析，它会在受害人的系统上禁用安全措施，例如任务管理器工具和网络分析工具。

根据过去的记录，JBiFrost RAT主要是泄露了知识产权，银行凭证和个人身份信息（PII）。感染了JBiFrost的计算机也可以在僵尸网络中使用，以进行分布式拒绝服务（DDoS）攻击。

凭证窃取 Mimikatz
该工具的主要目的是帮助攻击者收集登录到目标Windows计算机上的其他用户的登录凭据。通过本地安全机构子系统服务的Windows进程访问内存中的凭据。据了解，Mimikatz就是其中之一，它通过名为Local Security Authority子系统服务的Windows进程，访问内存中的凭据。这些凭证，不管是纯文本的还是散列的，都可以被重新用来访问网络上的其他机器。

目前，Mimikatz已经被多个黑客组织用于恶意攻击目的，这是因为mimikarz的源代码是公开的，任何人都可以编译和添加自己的功能内容，并开发新的定制插件功能和附加功能。Mimikatz的许多特性都是可以通过脚本实现自动化的，比如PowerShell，从而允许攻击者快速地利用受损的网络。

网络外壳 China Chopper
China Chopper它是功能强大的“公开可用的黑客工具”之一，并且是有据可查的网络外壳（Web Shell）。据了解，网络犯罪分子会使用它来上传恶意脚本，这些脚本在最初的入侵后会上传信息到目标主机，并授予攻击者远程管理功能。

入侵者会广泛使用China Chopper Web Shell，远程访问受感染的Web服务器，在Web Server中，它可以对文档和注册表进行管理，并可以访问受感染设备上的虚拟终端。据悉，China Chopper的一个特殊属性是每个动作都会生成一个HTTP POST。如果被网络防御者调查，它是很容易被防御人员发现的。而且，虽然China Chopper Web Shell服务器上载是纯文本，但是客户端发出的命令是Base64编码的，因此这很容易被解码。

横向运动框架 PowerShell Empire
PowerShell Empire被认定为公开可用的黑客工具，该工具可帮助攻击者在最初的入侵后移动并获得访问权限。同时，Empire也可用于生成恶意文档和可执行文件，以供社会工程学访问网络。

据了解，PowerShell Empire框架（Empire）在2015年被设计为合法的渗透测试工具。一旦攻击者获得对系统的访问权限，Empire便成为可持续利用的框架。与此同时，Empire使攻击者能够在受害者的计算机上执行一系列操作，并实现运行PowerShell脚本的能力，而且无需在系统上使用“ powershell.exe”，因为它的通信是经过加密的，其体系结构也很灵活。

C2混淆工具 HTran
混淆工具是隐藏攻击者身份并逃避检测的最重要工具之一，它会利用有一些隐私工具（如TOR）或更具体的工具来混淆其攻击的位置。

HUC分组发送器(HTran)是一个代理工具，用于拦截和重定向传输控制协议(TCP)连接，从本地主机到远程主机，这使得混淆攻击者与受害网络之间的通信成为可能。使用HTran和另一个连接代理工具可以观察到各种各样的网络参与者：

规避网络上的入侵和检测系统

• 与常见流量融合或利用域信任关系来绕过安全控制
• 混淆或隐藏C2基础架构或通信
• 创建对等的C2基础架构以逃避检测并提供与基础架构的弹性连接