盘点近⼏年病毒使⽤过的⼯具和漏洞
早前,我们从赎⾦⾓度探讨了下病毒的发展演变,详细参考从赎⾦⾓度看病毒演变。加密和Tor⽹络对病毒的基础性⽀撑不再赘述,今天,我们回归技术,从另外⼀个⾓度,看病毒为何会如此猖獗。为了很好的回答这个问题,我们同样不急于切⼊主题。⾸先,深信服安全团队基于⼤量真实的客户案例及⼤量的威胁情报信息,来盘点近⼏年病毒使⽤过的⼯具和漏洞。
⼯具
本质上来讲,⼯具是⽆害的,取决于使⽤的⼈,就像⼀把菜⼑,可以⽤来切菜,也可以⽤来砍⼈,不过话⼜说回来,在特定场景和环境,我们⼜不得不对这些⼯具进⾏限制,同样以菜⼑为例,菜⼑在国内地铁环境下,即密集⼈流环境下,多数情况下是不允许被携带的,原因相信⼤家都懂的。
其实,对⽹络安全、攻防对抗来讲,⼯具也是承担类似的⾓⾊,⿊产团队可以⽤这些⼯具,安全团队也可以⽤这些⼯具,⾄于利弊来讲,是取决于使⽤者的最终⽬的的。以开源⼯具Process Hacker为例,安全团队可以⽤这个⼯具进⾏应急响应、恶意进程分析、病毒查杀;⽽⿊产团队可以⽤这个⼯具对安全软件进⾏卸载,对系统或应⽤级保护机制进⾏破坏。
对从事病毒活动的攻击者来讲,同样存在上述现象,攻击者可以使⽤⼤量的⼯具进⾏攻击活动。深信
服安全团队处理过⼤量的病毒案例,从攻击现场,捕获了⼤量的⼯具,这些⼯具都是攻击者所使⽤的。当然,这些⼯具本⾝也可以被⽤于正常⽤途。
cve漏洞库
ProcessHacker
Process Hacker是⼀款针对⾼级⽤户的安全分析⼯具,它可以帮助研究⼈员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。Process Hacker是⼀个开源项⽬,Process Hacker跟ProcessExplorer⼗分相似,但是Process Hacker提供了更多的功能以及选项。⽽且由于它是完全开源的,所以我们还可以根据⾃⼰的需要来⾃定义其他功能。就是这样⼀款⼯具,安全⼈员和⿊客,均可以拿来使⽤,⾄于是⽤来应急响应和查杀病毒,还是⽤来破坏系统或应⽤,就取决于使⽤者。我们在⼤量的病毒攻击中,发现很多中病毒的主机,⿊客都会上传⼀份ProcessHacker,在执⾏病毒前,先把本地保护机制破坏掉,防⽌加密过程被中断。
PCHunter
PCHunter是⼀款功能强⼤的Windows系统信息查看软件,同时也是⼀款强⼤的⼿⼯杀毒软件,⽤它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒⽊马。不过,深信服安全团队发现,在病毒攻击活动中,⿊客也有可能使⽤这个⼯具,原因仍然是想在执⾏病毒前,先把本地保护机制破坏掉,防⽌加密过程被中断。有意思的是,这个⼯具是国⼈开发的,也就是⼯具本⾝是中⽂版的,外国⼈懂的概率⽐较低(难不成攻击前得先学中⽂?)。这⾥也是提醒⼤家,⿊产团队并不局限⼀个地区的,像病毒这块“巨⼤的蛋糕”,国内⿊产或华⼈⿊产社区,很难想象不会参与其中。当然,⼈⼠对国内的攻击⾏为相信是占⼤头的,毕竟他们可以肆⽆忌惮的攻击政府、医疗等等敏感或公益⾏业。
Mimikatz
神器Mimikatz是法国⼈Genti Kiwi编写的⼀款windows平台下的⼯具,它开发了很多功能,最令⼈熟知的功能是直接从进程⾥获取Windows处于激活状态账号的明⽂密码。也正是因为此功能,常常被⿊客所使⽤,⽤于提取被⼊侵主机更多的账号密码,在攻击中⾮常常见。
上图显⽰了某次攻击活动中Mimikatz获取密码的过程。
PsExec
PsExec 是⼀个轻型的 telnet 替代⼯具,它使你⽆需⼿动安装客户端软件即可执⾏其他系统上的进程,并且可以获得与控制台应⽤程序相当的完全交互性。这是⼀款微软官⽅⽹站可以下载的⼯具,有数字签名,属于“根正苗红”类型的,很少有杀毒软件会将这个软件当作病毒的,因为本⾝它也有正常的⽤途的。不过,或许正是因为此(杀软不敢“动它”),⿊客在攻击中,也时常会使⽤这个⼯具,进⾏远程病毒执⾏和内⽹扩散。
⽹络共享扫描⼯具,⽤于发现⽹络共享资源的,⾄于⽤来做什么,看你的⽬的了。当然,我们确实在不少的病毒攻击中,发现了这个⼯具。
DUBrute
DUBrute是⼀款强⼤的远程桌⾯(3389)密码破解软件,你可以⽤本附件的扫描功能来⾃动扫描活跃IP地址,扫描完成后设置好⽤户名与需要猜解的密码就可以开始全⾃动⼯作了。
NLBrute
⼀款爆破⼯具,跟DUBrute⽐较类似,不同⿊产团队可能使⽤不同的爆破⼯具,或者基于某种考虑,会轮换使⽤相同类型的不同⼯具。
WebBrowserPassView
WebBrowserPassView是⼀款功能强⼤的⽹页密码查看⼯具。该款⼯具会⾃动出你在浏览器⾥⾯保存过的的帐号和对应的密码并显⽰出来,只要启动它,经过⼏秒钟之后,就会看到画⾯上出现你的浏览器所记忆的⽹址、帐号及密码了!⽬前⼀共⽀持了IE1~IE9、Firefox、Chrome及Opera等四种主流浏览器。
Nasp
⼀款服务安装软件。
KPortScan
⼀款端⼝扫描⼯具。
PortScan & Stuff
⼀款端⼝扫描⼯具。
Mimikatz作为⼀款神器,已⼴为⼈知,杀毒软件已将此软件视为“病毒”和“⿊客⼯具”。为了逃避检测和加
强绕
过,Lazykatz是Mimikatz的升级版本。
PowerTool
PowerTool ⼀款免费强⼤的进程管理器,⽀持进程强制结束,可以Unlock占⽤⽂件的进程,查看⽂件/⽂件夹被占⽤的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还⽀持上传⽂件在线扫描病毒。⽀持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,可在PE系统下清除感染MBR的病毒(如⿁影等)。
Masscan
Masscan是为了尽可能快地扫描整个互联⽹⽽创建的,根据其作者robert graham,这可以在不到6分钟内完成,每秒⼤约1000万个数据包。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。