加密程序:如何应对勒索软件攻击(上)
注解
“加密程序”是指发现企业网络漏洞的程序,这些程序利用这些漏洞进入网络,获取企业的重要信息,然后从公司管理层勒索钱财。显然,这些程序是由人创建的,他们可以联合成犯罪团伙,也可以单独行动。
“虽然勒索软件的主要目标仍然集中在北美、拉丁美洲、欧洲、亚太地区,但最近几年俄罗斯也不再被认为是一个避风港。根据Group-IB的数据,仅在2021年,勒索软件对俄罗斯公司的攻击数量就增加了200%以上。”
近年来,通过加密程序的网络攻击正在增加。不幸的是,这一趋势也影响了俄罗斯——仅在2021年,这种攻击的数量就增加了三倍以上。
正因如此,俄文版的Oleg Skulkin的书籍才显得如此及时,作者不仅是俄罗斯的杰出专家,也是国际数字法证领域的专家。作者讲述了关于加密程序的所有内容——从攻击历史到数字证据。在他的叙述中,程序代码片段和彩色截图看起来都很自然。
“对IT基础设施漏洞的细致侦察及其为部署勒索软件的准备工作可以为网络犯罪分子带来数百万美元的加密货币收入。”
根据作者的观点(这一观点基于其在信息安全领域超过十年的工作经验),如果理解勒索软件攻击的生命周期,企业可以保护其网络和资金。这一生命周期在本书的第二章以及最后一章中详细描述,作者帮助读者学习如何重建所有勒索软件所遵循的通用攻击生命周期,无论它们具有何种个性特征。
“新冠病毒加剧了这一局面——许多公司为员工提供了远程工作的机会,并被迫开放了他们的服务器,这些服务器成为了包括勒索软件运营商在内的各种恶意行为者的目标。”
本书特点:
勒索软件攻击的历史;网络犯罪分子的行动方式:他们的战术、方法和程序;如何应对勒索软件事件。适用对象:
学习系统管理的学生,系统和网络管理员,以及应对专家和网络威胁分析师。前言
一个黑客团队攻击政府服务器,加密并提取三十多个部门的重要数据,经济停滞,执法部门无能为力,民众走上街头要求政府辞职,国家进入紧急状态……这不是Netflix的电视剧情节,而是2022年春季真实发生的事情,当时Conti勒索软件攻击了整个哥斯达黎加国家。
连续四年,勒索软件攻击成为最严重和破坏性最大的网络威胁之一,甚至被称为第一大网络威胁。受害者可能是像东芝公司或Colonial Pipeline这样的跨国公司,也可能是小型私营企业。一次成功的攻击就能完全瘫痪生产,使公司失去资金(赎金金额高达数亿美元)和敏感数据,攻击者可以先行下载并出售这些数据,以迫使受害者妥协。虽然勒索软件的主要目标仍在北美、拉美、欧洲和亚太地区,但俄罗斯近年来也不再是一个安全港湾。根据Group-IB的数据,仅在2021年,俄罗斯公司遭受勒索软件攻击的次数就增加了200%以上。
2022年上半年,这一数量比2021年第一季度增加了四倍。当偶尔(不常)有逮捕事件发生时,勒索软件运营者会短暂隐藏并清理痕迹,进行品牌重塑。但说勒索软件的黄昏已经到来还为时过早。Group-IB计算机取证实验室团队在大多数人尚未看到勒索软件严重威胁时就开始关注它们。书籍作者奥列格·斯库尔金不仅在俄罗斯,而且在国际数字取证领域都是重要人物。他在信息安全领域工作超过十年,撰写和合著了五本关于取证和事件调查的书籍。
奥列格是研究报告、网络研讨会和技术博客的常驻作者,内容涉及勒索软件帝国的发展及最活跃的犯罪集团:Conti、OldGremline、LockBit、Hive、REvil。读者将详细了解勒索软件的历史、运营者使用的战术和技术,以及如何调查这些攻击。这本书对于数字取证、事件响应、主动威胁搜寻、网络情报以及相关领域的专业人士来说都是必不可少的。
Group-IB
引言
人为操控的勒索软件攻击彻底改变了现代威胁格局,成为许多组织面临的主要威胁——这也是为什么各类组织都在提高警惕并准备应对此类事件的原因。
这本书将带你了解现代勒索软件攻击的世界。书中特别关注基于威胁情报分析的主动防御方法,帮助应对和防范此类攻击。
这本书适合谁?
这本书将吸引广泛的技术专家——从学习网络安全的学生,到中小企业的系统和网络管理员,甚至是希望深入了解人为操控勒索软件攻击的事件响应专家和网络威胁分析师。
这本书的内容?
第一章《现代勒索软件攻击的历史》介绍了人为操控勒索软件攻击的世界及其历史。
第二章《现代勒索软件攻击的生命周期》简要描述了现代攻击者在勒索软件攻击中的行为方式。
第三章《事件响应流程》描述了应对勒索软件攻击相关事件的响应流程。
第四章《网络情报与勒索软件》概述了关于勒索软件攻击的网络情报。
第五章《勒索软件团伙的战术、技术和程序》详细描述了勒索软件攻击者常用的战术、技术、方法和工具。
第六章《勒索软件相关的威胁情报数据收集》概述了收集勒索软件攻击相关情报的不同来源和方法。
第七章《数字取证证据及其主要来源》概述了响应事件时可用于重建攻击生命周期的各种取证证据来源。
第八章《初始访问方法》提供了关于攻击者使用的初始访问方法的实用研究。
第九章《后利用方法》讨论了攻击者使用的各种后利用方法。
第十章《数据窃取方法》研究了使用的数据窃取方法。
第十一章《勒索软件部署方法》研究了勒索软件的不同部署方法。
第十二章《统一的勒索软件攻击生命周期》描述了攻击生命周期的独特概念,以及勒索软件的使用。
第1章 现代勒索软件攻击的历史
勒索软件攻击已经成为2020年继COVID-19之后的第二次大流行的攻击方式——不幸的是,它还在继续发展。一些攻击者停止了活动,但很快就会有新一代网络犯罪分子填补他们的位置。
现在这些攻击已经广为人知,但它们早在著名的WannaCry和NotPetya勒索软件爆发之前就已经开始了。与不受控制的勒索软件不同,这些勒索软件由不同的运营商及其同伙操控。对IT基础设施漏洞的详细侦察及其为部署勒索软件的准备工作可以为网络犯罪分子带来数百万美元的加密货币收入。
有很多著名的勒索软件攻击案例。在本章中,我们将重点讨论几个具有历史意义的重要案例,包括现代IT环境中最具代表性的威胁——勒索软件即服务。
我们将讨论以下案例:
2016年:SamSam勒索软件2017年:BitPaymer勒索软件2018年:Ryuk勒索软件2019年至今:勒索软件即服务2016年:SamSam勒索软件
SamSam运营商于2016年初出现,彻底改变了勒索软件威胁格局。他们的目标不是普通用户和单个设备,而是通过手动操作攻击各种公司,渗透网络,尽可能多地加密设备,包括那些包含最重要数据的设备。
攻击目标范围广泛,包括医疗和教育领域的企业,甚至整个城市。一个典型的例子是2018年3月遭受攻击的乔治亚州亚特兰大市,恢复基础设施的成本约为270万美元。
通常,攻击者利用公开应用程序中的漏洞,例如JBOSS系统,或者通过猜测RDP服务器的密码来获得对目标网络的初始访问权。为了获得更高的访问权限,他们使用了一系列常见的黑客工具和漏洞利用程序,包括臭名昭著的Mimikatz,该工具可以获取域管理员的凭证。之后,SamSam运营商扫描内网收集可用主机的信息,将勒索软件复制到每台主机上,并使用另一个常用的双重用途工具PsExec运行它。
图片 1.1:SamSam勒索信息示例
攻击者使用暗网中的支付网站。受害者收到勒索软件生成的赎金要求和解密信息的通知(见图1.1)。
根据Sophos的数据,2016年至2018年间,攻击者赚取了约600万美元(来源:https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf)。
SamSam勒索软件的幕后黑手
2018年11月28日,FBI公开了起诉书,指控Faramarz Shahi Savandi和Mohammad Mehdi Shah Mansouri参与了SamSam勒索软件的国际传播。
图片 1.2:FBI通缉海报片段
这两名嫌疑人来自伊朗。起诉书公布后,这些罪犯至少以SamSam的名义结束了他们的犯罪活动。
SamSam案件表明,对公司进行勒索软件攻击可能非常有利可图,随之出现了新的类似犯罪团伙。其中一个例子是BitPaymer勒索软件。
2017年:BitPaymer勒索软件
BitPaymer勒索软件与Evil Corp有关,这是一家被认为源自俄罗斯的网络犯罪组织。这个勒索软件标志着人为操控攻击的新趋势——猎杀大型目标。
一切始于2017年8月,当时BitPaymer的运营者成功攻击了几家NHS Lanarkshire的医院,并要求高达23万美元的赎金(53比特币)。
为了获得初始访问权限,该组织使用了其长期使用的工具——Dridex木马。木马允许攻击者加载PowerShell Empire,一个流行的后期利用框架,以便在网络中横向移动并获取高级权限,包括使用Mimikatz,就像SamSam的运营者一样。罪犯利用组策略修改在整个企业中部署勒索软件,这使他们能够向每个主机发送脚本以启动勒索软件的实例。
攻击者通过电子邮件和在线聊天与受害者沟通。
图片 1.3:BitPaymer勒索信息示例
2019年6月,基于BitPaymer的新勒索软件DoppelPaymer出现。据称它由Evil Corp的一个子集团管理 。
BitPaymer勒索软件的创造者
2019年11月13日,FBI发布了一个声明,指控Maxim Viktorovich Yakubets和Igor Olegovich Turashev操作Dridex木马。
图片 1.4:FBI通缉海报片段
Maxim Viktorovich Yakubets目前因多项网络犯罪指控被通缉。据报道,悬赏500万美元捉拿他。
当然,Dridex并不是唯一用于人为操控勒索软件攻击的木马。另一个显著的例子是与Ryuk勒索软件密切相关的Trickbot。
2018年:Ryuk勒索软件
Ryuk勒索软件将大型猎物的捕猎提升到了一个新的水平。这种勒索软件与Trickbot组织(也称为Wizard Spider)有关,并且至今仍然活跃。
根据AdvIntel的数据,该组织在其历史上攻击了各种组织,赚取了至少1.5亿美元(来源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders) 。
某些时候,Ryuk被称为三重威胁,因为感染通常从Emotet木马开始,然后下载Trickbot,后者用于加载后期利用工具和最终部署勒索软件。通常,Trickbot用于加载PowerShell Empire代理或Cobalt Strike Beacon,这是另一个非常流行的后期利用框架的一部分。
最近,该团伙改变了工具集,开始使用一种名为Bazar的新木马。值得注意的是,他们开始使用“vishing”(语音钓鱼)。钓鱼邮件不包含恶意文件或链接,而仅包含虚假的付费订阅信息和一个电话号码,用于取消订阅。如果受害者拨打了电话,操作员会指导他们下载恶意的Microsoft Office文件,打开并启用宏,从而感染计算机Bazar木马。与Trickbot一样,该木马用于加载和运行后期利用框架——通常是Cobalt Strike。
攻击者使用了多种方法来启动Ryuk,包括前面提到的PsExec和组策略修改。起初,他们提供电子邮件地址以便受害者与他们联系,但很快就开始使用Tor的洋葱服务。
https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders
图1.5. 赎金消息中的指示[3]
Ryuk勒索软件的运营者仍然活跃,根据AdvIntel和HYAS的数据,他们已经赚取了超过1.5亿美元(来源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders)。
谁是Ryuk勒索软件背后的黑手?
2021年6月4日,FBI公布了一份文件,指控Alla Witte(也称为Max)与负责创建和传播Trickbot木马的跨国组织有关。
一些与Ryuk相关的人是Emotet僵尸网络的运营者。他们在2021年1月被荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰的执法部门联合行动中逮捕。最终当局完全控制了僵尸网络的基础设施。
图1.6. Emotet运营者的工作环境
尽管攻击者被逮捕,但“勒索游戏”吸引了越来越多的网络犯罪分子。因此,出现了另一个现象——勒索软件即服务。
2019年至今:勒索软件即服务(RaaS)
2019年是勒索软件即服务(RaaS)流行的一年,至今它仍然是主要趋势。许多勒索软件开发者开始向各种攻击者提供他们的产品,以换取赎金的一部分。
REvil、LockBit、Ragnar Locker、Nefilim只是一些通过勒索软件即服务模型传播的勒索软件家族。即使多个攻击者使用相同类型的勒索软件,他们的策略、技术和程序也可能非常不同。
然而,目前许多攻击者使用同样的方法:在实际部署勒索软件之前提取数据。这一趋势由2019年的Maze勒索软件运营者设立。目前几乎所有实施类似攻击的攻击者都有自己的网站泄露数据(Data Leak Site, DLS)。
以下是DoppelPaymer勒索软件运营中使用的DLS示例。
图1.7. DoppelPaymer的DLS[4]
通常,攻击的发起者不会亲自管理整个攻击生命周期,而是利用其他攻击者的服务。例如,他们可能与初始访问经纪人合作,这些经纪人允许他们进入被攻破的公司网络。在某些情况下,他们可能会支付专业的渗透测试人员(pentesters)以提升权限或绕过保护措施,以便在整个企业范围内无缝地启动勒索软件。
参与该项目的攻击者可以从赎金中获得不同份额。通常,开发者获得约20%,攻击的发起者获得约50%,初始访问经纪人获得10%,其余部分归辅助攻击者,例如渗透测试员或谈判人员。
勒索软件即服务目前非常普遍。根据Group-IB Ransomware Uncovered 2020/2021报告(https://www.group-ib.com/resources/research-hub/ransomware-2021/),2020年64%的勒索软件攻击是由与RaaS相关的人员实施的。
谁是勒索软件即服务背后的黑手?
与NetWalker勒索软件相关的一个人,Sebastien Vachon-Desjardins,加拿大公民,于2021年1月被指控。他据称通过勒索赚取了超过2760万美元。
另一个例子是与Egregor勒索软件相关的两个人,他们在法国当局的帮助下被捕,通过跟踪付给他们的赎金支付。还有一个例子是与Clop勒索软件相关的人,他们帮助攻击者洗钱,也在2021年6月被捕。
因此,勒索软件即服务使许多网络犯罪分子——甚至那些缺乏技能和资源的人——加入了“勒索游戏”。这是使人类驱动的勒索软件攻击成为网络大流行的一个重要因素。
结论
在本章中,您了解了现代勒索软件攻击的历史,并对攻击者的策略、技术和程序、他们的商业模式——甚至一些幕后人物有了一些了解。
https://www.group-ib.com/resources/research-hub/ransomware-2021/
在下一章中,我们将深入了解与勒索软件相关的现代威胁图景,并专注于攻击的生命周期——从初始访问到实际部署勒索软件。
第2章 现代勒索软件攻击的生命周期
使用勒索软件的攻击可能非常复杂,特别是当涉及大型企业时。因此,在深入了解技术细节之前,了解典型攻击的生命周期非常重要。了解攻击的生命周期有助于安全专业人员正确重建事件并在各个阶段做出正确的响应决策。
如您从第1章“现代勒索软件攻击的历史”中所知,勒索软件即服务可以由一群人或一系列个别攻击者管理。这意味着策略、技术和程序可能会有很大不同,但在大多数情况下,攻击生命周期大致相同,因为攻击者通常有两个主要目标——从目标网络中窃取机密信息并在企业范围内部署勒索软件。
在本章中,我们将简要讨论人类驱动的勒索软件攻击的各个阶段,以形成对这些攻击生命周期的清晰理解,并准备好深入技术细节。
本章将讨论以下主题:
攻击的初始向量后期利用数据盗窃部署勒索软件攻击的初始向量
任何攻击都从获得初始访问开始。这可以通过连接到内部网络的VPN、通过有针对性的钓鱼传播的木马、通过入侵公共应用程序的web接口,甚至通过供应链攻击(另一个术语是第三方攻击)来实现。
三种最常见的初始攻击向量是通过远程桌面协议(RDP)获得访问权限、有针对性的钓鱼和利用软件漏洞。
以下是Coveware收集的截至2021年第二季度最常见的勒索软件攻击向量的统计数据(来源:https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority)。
图2.1. Coveware认为的最常见勒索软件攻击向量
我们将详细探讨每一个,并辅以示例。
通过远程桌面协议(RDP)获得访问权限
多年来,RDP一直是攻击者访问目标网络的最常见方式。从第1章“现代勒索软件攻击的历史”中,您已经知道其被SamSam运营者使用。当然,SamSam不是唯一的例子。目前,许多攻击者都使用这个向量——包括偶尔为之的攻击者,如Dharma勒索软件运营者,以及有目标的组织团伙,如REvil。
大流行加剧了这种情况——许多公司为员工提供远程工作机会,不得不开放他们的服务器,成为各种攻击者的目标,包括勒索软件运营者。
例如,通过Shodan搜索工具公开的端口3389(RDP的默认端口)可以看到数百万台设备。
图2.2. 端口3389开放的设备数量
简单的搜索就能返回数百万结果——这就是为什么这个初始攻击向量在勒索软件运营者中如此受欢迎的原因之一。
在实践中,攻击者不一定亲自攻击这些服务器,他们可能只是购买对它们的访问权限。勒索软件即服务的运营者不仅可以租用勒索软件,还可以从所谓的初始访问经纪人那里购买企业网络访问权限。这些经纪人通常不参与后期利用阶段,更常见的是,他们以分成的形式(通常约为赎金的10%)出售或分享初始访问权限。
有时勒索软件运营者甚至会在地下论坛上发帖,吸引初始访问经纪人的注意。例如,Crylock勒索软件运营者发布了一条消息,表明他们有意购买各种类型的企业网络访问权限。
图2.3. 地下论坛上的帖子
我们接下来将讨论另一个非常流行的初始攻击向量——有针对性的钓鱼。
有针对性的钓鱼
有针对性的钓鱼涉及使用社会工程学。攻击者操纵用户打开恶意附件或点击危险链接,从而获取可用于获得VPN访问权限的凭证,或如您从第1章“现代勒索软件攻击的历史”中所知,用于感染设备的木马程序。起初,许多攻击者使用这些恶意软件进行银行欺诈,但它们也用于获得企业网络的初始访问权限。
最常见的此类木马例子包括:
BazarLoaderHancitorIcedIDQakbotTrickbot当然,这不是一个完整的列表——这里只列出了最常见的为勒索软件运营者铺平道路的工具。
通常,这些木马的运营者会进行大规模的垃圾邮件活动,主要针对企业用户。最常见的做法是使用邮件链劫持——攻击者从被攻破的电子邮件地址发送恶意文件作为对真实邮件的回复。
图2.4. Qakbot运营者的邮件链劫持示例5
在某些情况下,攻击者会使用更复杂的方法:如第1章“现代勒索软件攻击的历史”中所述,BazarLoader的运营者也使用了语音钓鱼(vishing)。
以下是此类钓鱼邮件的示例。
https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html
图2.5. 用于传播BazarLoader的钓鱼邮件示例6
如您所见,这种情况下没有恶意附件。相反,攻击者要求受害者不要回复邮件,而是致电虚假公司以取消订阅。
如果受害者拨打电话,虚假的呼叫中心工作人员会引导他们访问网站,自行打开恶意文档并启用宏,以便下载并运行BazarLoader。
我们将在后面的章节中讨论这些木马的启动和隐藏技术细节,但请记住,攻击者可以使用这些木马在被攻破的主机上下载其他工具,以进行后期利用步骤并获得特权账户以在网络中推进。
在我们总结初始攻击向量的讨论之前,我们将回顾一些允许勒索软件运营者获得网络访问权限的软件漏洞。
软件漏洞
软件漏洞让许多初始访问经纪人赚取了数十万美元,但通过勒索软件即服务赚取了数百万美元。
当然,不是每个漏洞都能让攻击者获得网络的初始访问权限。最常用的漏洞是那些允许远程执行代码或获取凭证文件的漏洞。
一个很好的漏洞例子是Pulse Secure VPN应用程序。例如,CVE-2019-11510漏洞允许攻击者获取易受攻击设备的用户名和未加密密码,以用于访问网络。
另一个在勒索软件运营者中流行的漏洞是FortiGate VPN服务器中的CVE-2018-13379漏洞。它也允许攻击者读取未加密的凭证文件。
Citrix ADC和Gateway中的CVE-2019-19781漏洞也被许多勒索软件团伙广泛利用——它允许攻击者远程上传和执行恶意代码并执行其他后期利用操作。
另一个例子是Accellion Legacy File Transfer Appliance中的多个漏洞,包括CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104,被Clop勒索软件团伙利用。
最后,在某些情况下,攻击者甚至能够利用零日漏洞——这些是系统或设备中已知但尚未修复的漏洞。2021年7月,REvil团伙成功利用了Kaseya VSA远程管理服务中的多个漏洞,并启动了恶意更新包,导致勒索软件的部署。这次攻击影响了许多Kaseya的客户,包括综合IT基础设施管理服务提供商,因此攻击者要求了巨额赎金——7000万美元。
图2.6. REvil攻击DLS的相关信息7
当然,获得网络的初始访问权限只是第一步。在大多数情况下,攻击者需要提升权限、获取凭证、进行网络侦察和其他后期利用操作。
后期利用
访问网络只是工作的一半。在许多情况下,攻击者对网络不够了解,只能访问有限权限的账户,无法禁用安全控制措施并在网络中推进以获取机密数据和部署勒索软件。
后期利用操作取决于访问类型。例如,如果攻击者有VPN访问权限,他们可以扫描网络中的漏洞,以确保在网络中的推进。
不要惊讶——臭名昭著的EternalBlue漏洞(CVE-2017-0144)在许多企业网络中仍然非常普遍,包括一些大型企业。
另一个广泛用于勒索软件运营者的漏洞是Zerologon(CVE-2020-1472)。它允许攻击者在几次点击内访问域控制器。
使用各种木马的攻击者通常从使用Windows内置服务(如net.exe、nltest等)进行网络和Active Directory目录服务的诊断开始,然后使用第三方工具加载到被攻破的主机上。最常见的工具包括:
AdFindBloodhound (Sharphound)https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html
ADRecon这些工具允许收集有关用户和组、计算机、子网、域权限和Active Directory内信任关系的信息。
如果攻击者通过RDP访问被攻破的节点,他们通常使用各种工具——从网络扫描器到密码转储器。以下是一些最常用的工具:
SoftPerfect Network ScannerAdvanced IP ScannerMimikatzLaZagneProcess HackerProcDumpNLBrute在某些情况下,特别是当攻击者已经有了服务器的初始访问权限时,他们几乎可以立即通过加载工具集的一部分来获取提升权限的账户凭证,例如创建LSASS(Local Security Authority Subsystem Service)进程内存的快照。
另一个现代勒索软件攻击的典型特点是广泛使用各种后期利用框架。我几乎可以肯定你听说过Cobalt Strike。这是最广泛使用的框架,不仅被网络犯罪分子使用,还被国家支持的黑客使用。
但这只是一个例子。在响应勒索软件攻击时,您还可能遇到:
MetasploitPowerShell EmpireCrackMapExecKoadicPoshC2这些服务使勒索软件运营者能够解决各种任务:扫描网络、提升权限、转储凭证、加载和运行第三方工具和脚本、使用各种方法在网络中横向移动等。
另一个重要的步骤是确保后备访问。具体来说,他们可能会传播已经用于获得初始访问权限的木马、在远程主机上启动后期利用框架组件,甚至在某些服务器上安装合法的远程访问软件,如TeamViewer。
一旦攻击者对他们侵入的网络有了足够的了解并获得了提升的权限,他们就可以开始实现主要目标——数据盗窃和勒索软件部署。
数据盗窃
数据盗窃有时被称为数据泄露、数据导出或数据外流,它在勒索软件运营者中非常流行。几乎所有与人类驱动的勒索软件攻击有关的攻击者都有自己的网站泄露数据(Data Leak Site, DLS)。他们在这些网站上发布有关成功攻击的信息——甚至在公司拒绝支付赎金时发布被盗数据。
被盗数据的量可以有很大差异。在某些情况下,这只是几个GB的数据,而在其他情况下可能达到TB级别。外流的数据可能包括信用卡信息、社会安全号码(SSN)、个人身份信息(PII)、受保护的健康信息(PHI)和国家医疗服务提供者标识符(NPI),以及公司的私密和机密信息。
下图展示了Conti勒索软件使用的DLS示例。
图2.7. Conti勒索软件的DLS8
大多数此类网站位于暗网,通常通过Tor浏览器访问。如果您想使用普通的Web浏览器跟踪这些网站的变化,建议使用Ransomwatch项目(https://www.ransomwatch.org/)。该网站自动捕获并发布各种勒索软件运营者DLS的截图。
攻击者可能会花费相当长的时间从被攻破的网络中提取数据——有时长达几个月。在此期间,他们可能会找到最机密的数据,并确保额外的远程访问手段,以防止初始访问方法被揭露和封锁。
通常有两种数据外流方法。第一种情况下,攻击者可能会为此目的设置一个服务器或使用发起攻击的服务器,例如,通过后期利用框架。
在这种情况下,攻击者通常使用合法的工具(如WinSCP或FileZilla)进行数据盗窃。检测这些工具可能非常困难,尤其是如果公司的安全团队没有专门的威胁监控组。
通常数据需要先被收集,但在某些情况下,可以直接从文件服务器中提取数据而无需归档。
另一种方法是使用公共云存储服务,如MEGA、DropMeFiles等。攻击者可以使用这些存储服务在他们的DLS上发布数据。
以下是Everest勒索软件运营者盗取的数据上传至DropMeFiles的示例。
图2.8. Everest勒索软件运营者发布的被盗数据
为了以这种方式上传数据,攻击者可以使用普通的Web浏览器,或在某些情况下使用相应的客户端应用程序。例如,Nefilim勒索软件的运营者在目标主机上安装了MEGAsync来上传数据。
另一个明显的例子是Mount Locker的合作伙伴使用Amazon S3存储来窃取收集到的数据。AWS和其他云解决方案对于大规模的数据盗窃非常有帮助,因此在没有适当管理和监督的情况下使用这些解决方案对攻击者非常有利。
一旦所有机密数据(至少从攻击者的角度来看)被提取出来,受害者的网络就可以准备部署勒索软件了。
部署勒索软件
您认为勒索软件运营者的最大敌人是谁?没错,是备份——如果它们受到保护并存放在安全的地方。但它们有一个显著的弱点——攻击者可以删除它们。
不幸的是,系统管理员经常忘记3-2-1规则(3份备份存储在2种不同的介质上,其中1份存放在异地),也忘记了为备份服务器使用单独的账户并启用多因素认证的必要性。如今,妥善保护备份不仅对于防止勒索软件至关重要,而且对于企业遵守行业法规也至关重要。
如果没有足够的安全措施,攻击者可以轻易访问备份服务器并删除所有可用的备份。在这种情况下,受害公司别无选择,只能支付赎金。
一些勒索软件内置了删除典型备份解决方案文件扩展名的功能。例如,TinyCryptor删除的备份文件扩展名列表如下:
vbmvibvbkbkfvlbvlmiso您可能知道,Windows操作系统内置了一个名为卷影复制服务(Volume Shadow Copy Service)的备份机制。它创建文件甚至卷的备份,使用户可以将数据恢复到以前的状态。
当然,勒索软件运营者注意到了Windows的这一功能——大多数勒索软件都会禁用它并删除所有可用的卷影副本。
备份并不是勒索软件运营者唯一的敌人。另一个敌人是可以有效阻止勒索软件执行的安全软件——当然,如果它们正常运行的话。
攻击者可以将勒索软件添加到排除列表中,或者直接禁用现有的安全软件。在这一步,攻击者通常已经拥有了域管理员权限,因此他们可以部署批处理脚本,操作组策略来达到目的。当然,这不是唯一的方法——也可以通过安全软件的控制台界面禁用它。
勒索软件部署的方法有很多,包括修改组策略、使用PsExec,甚至手动复制和启动——这取决于网络犯罪分子的偏好。
另一个重要的点是系统必须保持可访问,以便受害者可以收到电子邮件或链接与攻击者联系。这就是为什么许多勒索软件会将系统文件夹添加到排除列表中的原因。以下是Darkside勒索软件排除列表中的文件夹:
$recycle.binconfig.msi$windows.~bt$windows.~wswindowsappdataapplication databootgooglemozillaprogram filesprogram files (x86)programdatasystem volume informationtor browserwindows.oldintelmsocacheperflogsx64dbgpublicall usersdefault有趣的是,排除列表中包含了tor browser文件夹。因为Darkside有一个暗网中的受害者门户,只有通过Tor浏览器才能访问。
一旦勒索软件部署完成,攻击者就准备与受害者讨论赎金金额。有时他们会分别要求解密赎金和删除被盗数据的赎金。
有时攻击并不会到此结束。例如,众所周知,与REvil团伙有关的攻击者会对拒绝付款的受害者进行DDoS攻击。
结论
现在您对典型的勒索软件攻击阶段有了清晰的理解。尽管在战术、技术和程序方面这些攻击可能有很大差异,但主要目标几乎总是相同的:获得域的完全控制,窃取最有价值的机密数据,并部署勒索软件。
在下一章中,我们将探讨事件响应过程及其应对现代勒索软件攻击的六个阶段。
第3章 事件响应过程
您已经对现代勒索软件攻击有了相当了解,因此是时候探讨事件响应过程了。分析过程可能看起来有点枯燥,但理解它们非常重要——这将帮助您更快速地响应事件。
我们不会停留在您已经知道的事情上。相反,我们将探讨美国国家标准与技术研究院(NIST)开发的经典事件响应过程,并结合勒索软件攻击的实际案例和经验进行讲解。
这个过程在《计算机安全事件处理指南》(Computer Security Incident Handling Guide)中由Paul Cichonski、Tom Millar、Tim Grance和Karen Scarfone提出。至今,全球许多事件响应团队在实践中仍然使用它。我不会在这里复述这篇文章——我将分享我的意见和经验,以便您在阅读或重读时能更好地理解它。
在本章中,我们将探讨事件响应过程的各个阶段,并讨论以下主题:
事件准备威胁检测与分析控制、消除与恢复事件后处理事件准备
事件准备是事件响应过程中的一个重要部分。这不仅涉及团队,还涉及被攻击的IT基础设施。想象一下,如果您必须应对一个与勒索软件相关的事件,但您的基础设施完全被加密,并且只运行基础级别的日志记录和防病毒软件。听起来很可怕,但这正是我所调查的许多事件的实际情况——公司在受到攻击之前不会考虑安全问题。
非常重要的是要认识到您的基础设施缺乏安全控制和人员。为此,您不需要等待实际的事件发生——在许多情况下,简单的渗透测试就足够了。
一些公司即使在成功的勒索软件攻击之后也不考虑安全问题。一个显著的例子是澳大利亚的运输和物流公司Toll Group。2020年2月,该公司遭到Netwalker勒索软件运营者的攻击。5月,Toll Group恢复正常运行,立即又被另一个团伙Nefilim勒索软件成功攻击。
如您所见,勒索软件的世界非常残酷,因此准备团队和IT基础设施应对威胁至关重要。
团队
实际上,公司不一定需要内部的事件响应团队。许多服务公司提供此类服务,包括识别和分析威胁,并提供消除威胁的指导。
此外,公司还可以利用外部管理检测和响应(Managed Detection and Response, MDR)团队的服务,这些团队负责监控和响应。
当然,如果需要,公司可以在内部创建事件响应团队,作为安全部门或内部安全运营中心(Security Operations Center, SOC)的一部分。
首先,这种团队必须具备响应事件的能力。以下是具体含义:
数据收集能力
在事件响应过程中,能够收集必要的数据至关重要——从单一的运行进程的工件到完整的事件日志或注册表文件。我们一直使用自己的扩展检测和响应(Extended Detection and Response, XDR)解决方案Group-IB MXDR,这是市场上众多解决方案之一。重要的是,选择的解决方案能够监控整个基础设施,从任何主机收集数据,并在必要时进行主动威胁搜索。虽然这些任务可以通过部署各种脚本来解决,但这种方法可能不太高效,并显著增加事件响应的时间。
数据分析能力
数据收集很重要,但分析更重要。XDR数据可以节省大量时间,但如果不可用,您需要使用各种数字取证工具,包括商业和开源工具。这些工具可以提高处理速度,但不幸的是,它们无法加速分析——因为勒索软件攻击的分析,和这些攻击本身一样,总是由人来执行。另一个重要的点是,必须访问良好的威胁情报来源:这将加快分析速度,并帮助您更好地理解您正在寻找的内容。最后,需要进行培训。培训可以通过各种形式进行:在教练指导下,通过预录视频,借助网络研讨会——甚至只是阅读一份好的威胁报告或书籍(例如这本书)。
沟通能力
这是一个非常重要的方面。在事件响应团队中应分配职责——至少一个人负责与管理层的互动,另一个人负责与技术人员的沟通。
基础设施
本节中写的内容仅适用于内部事件响应团队成员,也就是说,您可以与其他团队沟通并向他们提供IT基础设施配置建议。
在事件响应过程中,最糟糕的情况是缺乏通讯和空白(或太短)的事件日志。如您所知,在某些情况下,攻击者在实际部署勒索软件之前可能会在基础设施中待上数周,为了追踪他们到第一个被攻破的主机,您需要该期间内的所有日志。
这在实践中是如何运作的?假设您通过命令jump psexec_psh发现主机上运行了Cobalt Strike Beacon——这种情况很常见,通常会记录创建新服务的事件ID为7045的系统日志。我们首先关注的通常是启动源——这并不难找到,例如,通过系统登录(事件ID 4624)。难题出现在服务创建两周前,而您的安全日志仅记录了最近三天的事件。
另一个例子是防火墙。防火墙确实不能阻止0day,但它们可以在事件响应中非常有用——当然,前提是您保留了需要的时间段的日志。
我曾处理过一个案例,我们在一个小时内确定了所有用于初始访问的主机。攻击者使用目标钓鱼电子邮件附件获取初始访问权限,但这次他们攻击了四台主机。我们快速找到其中一台主机,因为它被用于部署勒索软件——我们发现该主机在四个月前被攻破。客户妥善保存了日志,因此我们能够回溯四个月,通过与命令和控制服务器的通讯识别其他受感染的主机。
在我的实践中,有一次我们在一个小时内确定了所有用于初始访问的主机。攻击者通过带有恶意附件的目标钓鱼电子邮件获取了初始访问权限,但这次他们攻击的不止一台主机,而是四台。我们很快找到了其中一台,因为它被用于部署勒索软件——我们发现这台主机在四个月前被攻破。我们的客户很好地保留了日志,因此我们能够回溯四个月,通过与命令和控制服务器的通信识别出另外三台主机。如果没有这些日志,查找工作可能会花费更多时间,而攻击者也有机会改变战术、技术和程序(TTPs),并植入新的后门。
我想你已经明白,仔细保存日志对于应对任何事件至关重要。如果你目前还没有保存日志,一定要实施日志保存和管理流程。每个行业都有自己的规则和规定,涉及到日志的保存和管理。一定要查清哪些要求适用于你的组织。
另一个与基础设施相关的重要方面是技术安全措施。我之前提到过XDR(扩展检测和响应)。你可能会问,为什么是XDR,而不是市场上的其他许多解决方案?原因在于,XDR可以用于监控、威胁搜寻、收集取证数据,更重要的是,它可以阻止恶意文件并隔离受感染的主机。当然,安全信息和事件管理(SIEM)工具也能提供监控、警报和威胁搜寻功能,但它们不能阻止恶意文件或隔离主机,而这在应对勒索软件攻击时尤为关键。另一方面,SIEM工具可以长期保存日志,因此如果你处理的是长期事件,正确配置的SIEM可能发挥关键作用。
当然,这不仅仅是关于XDR:它只是最现代和有效的防止和应对事件的工具。工具越多,处理事件就越容易。
现在我们来看看威胁检测和分析的阶段。
威胁检测和分析
这是事件响应过程中最重要的两个阶段。为什么?如果检测和分析失败,很可能你的基础设施或客户的基础设施将被某种勒索软件加密。
有两种可能的情况:
一切已经被加密——也就是说,已经发生了攻击,需要重建事件。网络中出现了勒索软件的前兆,需要尽快定位并消除。通常,如果攻击已经发生,确定你遇到的勒索软件变种并不难——只需阅读勒索信息。这些信息通常包含指向门户网站的链接,受害者可以在这些门户网站上与攻击者进行谈判。
图3.1. BlackMatter勒索软件的门户网站
如图3.1所示,这些门户网站向受害者提供了大量信息,包括赎金金额、支付细节、被盗数据——甚至提供测试解密和聊天支持。但更重要的是,屏幕顶部显示了勒索软件家族的名称——BlackMatter。利用这些信息,你可以继续了解该攻击者通常使用的TTP。
你可以从各种公开来源获得一些信息,我们将在第6章“收集勒索软件相关的网络威胁数据”中详细讨论这一点。此外,访问商业网络威胁分析平台也非常有用。
图3.2. Group-IB威胁情报平台上的BlackMatter档案
为什么这很方便?这些平台包含了关于勒索软件的丰富信息,包括战略、操作和战术层面的内容。你可以找到关于勒索软件TTP的信息,包括它们使用的工具、漏洞等。此外,你还会看到许多不同的妥协指标,如哈希值、文件名和IP地址。最后,通常还有关于目标国家和行业的信息。我们将在第4章“网络威胁情报和勒索软件”中更详细地讨论这个主题。
拥有这些信息后,你就可以推测攻击者如何获得初始访问权限,并使用了哪些手段来提升权限、获取凭证、在网络中横向移动等。
让我们看看我们在前几章中讨论过的一个例子——Ryuk勒索软件。
如果攻击已经发生并且文件已被加密,你需要找到勒索软件的部署源及其使用的方法。Ryuk通常从域控制器部署。假设你很幸运找到了具体的控制器,但问题在于,由于日志记录不足,你无法看到连接到这台服务器的源头。
然后你分析已有的网络威胁信息,发现与Ryuk相关的攻击者通常使用Cobalt Strike、AdFind和Bloodhound等工具,并通过目标钓鱼邮件获得初始访问权限,传送Trickbot或BazarLoader。
现在你知道该找什么——勒索软件运营者非常喜欢使用各种后期利用框架,如Cobalt Strike,而这些框架通常会留下大量的痕迹,可以在事件响应过程中找到。关于数字取证工件的来源,你可以在第7章“数字取证工件及其主要来源”中了解更多。
重要的是,威胁主体的TTP信息不仅对于事件响应很重要,也对预防事件有帮助,因此,如果你或你的团队成员找到了关于攻击者行为的信息,应立即调整安全措施以应对。
让我们看看当攻击还未发生时的情况——勒索软件尚未部署,但已经有一些入侵前兆。它们是什么样的?
我们已经知道,攻击者通常使用Trickbot或BazarLoader来获得初始访问权限。这意味着我们必须对任何与这些威胁相关的事件作出反应,例如来自防病毒软件的警报。即使攻击已经发生,防病毒软件也可以有用,因为攻击者使用的各种工具中有些无法避免被检测到。因此,这些警报可以提示我们在后期利用过程中攻击者的行动路径。
此外,隔离工作站(如果可行且不会影响业务流程)并检查是否有其他未发现的工件也非常重要。如果你成功发现并删除了BazarLoader的变种,内存中可能还留有Cobalt Strike Beacon,而威胁主体可能已经在网络中进一步移动。
同样,针对网络或Active Directory的侦查活动的痕迹也很重要。如果你发现了诸如使用AdFind之类的活动,必须判断它是否合法并作出反应。
这当然不是全部例子——我们将在第5章“勒索软件团伙的战术、技术和程序”中更详细地讨论。
现在我们来谈谈遏制、消除和恢复。
遏制、消除和恢复
一旦你了解了所面对的攻击类型,就可以采取遏制措施。
最明显的措施是阻止与命令和控制服务器的连接。没有连接,攻击者很难对网络造成损害——当然,前提是他们没有计划执行某些任务,比如启动一个带有其他命令服务器地址的后门。
因此,可能需要将整个网络与互联网断开连接。这取决于攻击的生命周期阶段——如果你在攻击的早期发现攻击,隔离整个网络可能是多余的,但如果攻击者已经在你的网络中存在一个月,最好谨慎行事。
许多勒索软件运营者使用合法的远程访问应用程序,如:
TeamViewerAnyDeskSupRemoRemote UtilitiesAtera RMMSplashtopScreenConnect这意味着,一旦你发现了事件,最好立即阻止这些程序。
如你所知,大多数攻击者都会窃取数据。因此,如果你看到勒索软件前兆的活动痕迹,并怀疑攻击者仍在网络中,最好阻止访问常用的云文件共享服务,如MEGA、DropMeFiles、MediaFire等。
在某些情况下——尤其是当你面对初始访问时——隔离受感染的主机可能已经足够。实际上,这应该在分析阶段之前完成,以防止攻击者在网络中进一步移动。
网络犯罪分子总是试图获取更高的权限和有效的账户凭证,因此,如果你发现任何表明账户凭证被泄露的证据,应立即更改其密码。
如果你已经将攻击者与被攻破的网络隔离,并且没有新的恶意活动痕迹出现,可以开始删除恶意软件和攻击者使用的工具。
删除脚本和不需要安装的服务很简单。
远程访问工具如TeamViewer有方便的卸载程序,因此从受感染的主机中删除它们并不困难。
删除恶意软件则稍微复杂一些。例如,它们可能是无文件的,只存在于内存中,不会在磁盘上留下副本。如果恶意软件在被感染的系统中保持持久性,这种情况相当常见,它将在重新启动后仍然存在于内存中。
以下是一些用于勒索软件攻击的恶意软件常用的持久性机制:
注册表启动键或启动文件夹Windows服务计划任务如果你已经删除了恶意软件,有时可以不删除持久性机制,但这有时可能导致误报威胁。有一次我的客户发现了一个与Cobalt Strike相关的恶意服务——我的团队立即做出了反应,但很快发现这只是几年前客户团队处理过的一次攻击的残留物。
所以,你已经阻止了命令服务器,修改了泄露账户的密码,删除了恶意软件和攻击者的工具。这样够了吗?你准备重新启动这个工作站或服务器了吗?如果你百分之百确信一切都已清除,那为什么不呢?如果不确定,最好重新从映像中部署系统。
另一种情况是,网络已经被加密。在这种情况下,通常只有两个选择:与网络犯罪分子谈判并支付赎金,或者从头开始重建基础设施。
在第一种情况下,攻击者提供的解密器可能会带来额外的问题。以下是另一个例子:ProLock勒索软件运营者在2020年4月至6月期间活跃,一些受害者同意支付赎金并获得了解密器。但问题在于,解密器不能正常工作,解密过程中超过64MB的文件会被损坏。当这个问题曝光后,攻击者的声誉受损,不久ProLock就消失了。
当然,并非所有解密器都工作不良。许多攻击者提供的可执行文件确实能够解密所有文件。但这并不保证支付赎金后系统的安全——已知有攻击者一次又一次地攻击同一家公司,试图赚取更多的钱。
因此,在成功的攻击后——尤其是如果组织决定支付赎金——改善安全状况以防范未来的攻击是极其重要的。这就是事件后处理阶段的目的。
事件后处理
在最后阶段,事件响应团队应该帮助受害公司了解攻击者为何成功,以及如何避免类似的情况。
根据使用勒索软件的不同,事件的生命周期可能完全不同。根据你发现的内容,你可以提供一系列建议。让我们看看一些通用的建议。
如我们所知,许多勒索软件攻击始于公开可访问的RDP服务器,因此一个好的建议是选择其他远程访问方法,或为这些RDP连接实施多因素认证。
对于公开可访问的基础设施部分,组织应确保修补所有漏洞,特别是那些允许攻击者获取有效账户凭证或远程执行代码的漏洞。
如果攻击者通过目标钓鱼获取访问权限,可能需要对员工进行额外培训,或提高邮件流量的安全性,例如实施恶意软件“沙箱”系统,这些系统会分析所有进出邮件中的附件和链接。
同样地,内部网络安全产品——在某些情况下,只需正确配置它们,而在其他情况下,则需要更换它们。此外,可能还需要额外的监控能力和受过培训的人员。
最后,如果现有的备份最终被删除(如你所知,这是攻击者的常见策略),组织应考虑备份保护,例如实施3-2-1规则,为备份服务器使用单独账户,并为任何类型的访问实施多因素认证。
这不是事件后处理的全部内容,而只是一些示例,帮助你理解通常在这个阶段做什么。
希望现在你对典型的事件响应过程有了更清晰的理解。你可以在NIST编写的《计算机安全事件处理指南》中找到更多信息。
结论
在这一章中,我们讨论了事件响应过程的各个阶段,让你对抗击勒索软件攻击的主要步骤有了清晰的认识。我们将继续研究这个问题,以便你能够更好地了解细节。
你已经知道,网络威胁情报是事件响应过程的重要组成部分,因此在下一章中,我们将讨论不同层次的分析,并特别关注勒索软件攻击。我们将查看公开的威胁报告,并从中提取不同类型的数据,以便充分了解它们的区别。
第4章 网络威胁情报和勒索软件
网络威胁情报是应对事件的重要组成部分。读完前一章后,你应该对当前的威胁形势和攻击者使用的方法有了清晰的了解。现在,快速进行分析并进入应对事件的下一阶段是至关重要的。
接下来,我们将讨论各种类型的网络威胁信息:战略信息、操作信息和战术信息。实践总是胜过理论,因此在我们的讨论中,我们将分析一个公开的报告,尝试从中提取各种类型的分析数据。
因此,在本章中,我们将通过勒索软件的视角来审视所有类型的网络威胁数据:
who and why?——网络威胁的战略信息。how and where?——网络威胁的操作信息。what?——网络威胁的战术信息。网络威胁的战略信息
网络威胁的战略信息通常面向决策者:首席信息安全官(CISO)、首席信息官(CIO)、首席技术官(CTO)等。它包括对攻击者活动和动机的全局描述,并回答“谁”和“为什么”的问题。这些信息为CISO、CIO和其他网络安全领导者提供技术和战术知识,帮助他们预见威胁领域的新趋势。
因此,“谁”指的是针对组织的攻击者,而“为什么”则是他们的动机。
从动机的角度来看,网络犯罪分子相当可预测,他们的主要目标是从受害者那里获取金钱。通常,这涉及到相当可观的金额。
另一个重要的问题是哪些组织成为攻击目标。例如,一些勒索软件运营者不会攻击医院、政府机构、关键基础设施等。BlackMatter运营者就是一个很好的例子,他们禁止其同伙攻击某些类别的组织(见图4.1)。
现在让我们看看SentinelLabs团队的公开报告《Hive攻击:针对医疗行业的人类操作勒索软件分析》(Hive Attacks | Analysis of the Human-Operated Ransomware Targeting Healthcare)。报告可在以下链接查看:https://labs.sentinelone.com/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/
图4.1. BlackMatter勒索软件网站上的规则部分
第一个重要的战略事实是,使用Hive勒索软件的攻击者的目标是医疗机构。是的,一些运营者及其同伙可能专门针对特定的业务领域或行业,有时是在特定的国家。例如,研究人员描述了对俄亥俄州Memorial Healthcare System医院的攻击,导致该组织不得不将急诊患者从其多个医院转移到其他机构。攻击者非常清楚,医疗行业是一个有利可图的环境,包含大量数据。医疗行业有许多入口点,允许攻击者随心所欲地渗透和移动。如果我们尝试深入分析这一点,并分析在攻击者泄漏数据网站(DLS)上可以找到的受害者数据,可以发现更多与攻击相关的数据(见图4.2)。
由于受害者名单不仅限于医疗机构,分析可以提供更详细的目标概览。这使得决策者能够清楚地了解他们的业务是否真的面临威胁。
图4.2. Hive泄漏数据网站上的受害者信息
此外,从报告中可以看出,使用Hive勒索软件的团伙非常活跃。他们在2021年6月底开始活动,已经进行了至少30次成功的攻击。这一事实也有助于在防御策略中确定优先事项。
让我们进一步分析报告中可以提取的网络威胁的操作信息。
网络威胁的操作信息
网络威胁的操作信息帮助我们了解攻击者的能力,了解他们的基础设施,当然还有他们的战术、技术和程序。这种信息让我们知道“如何”和“在哪里”,因此它面向安全运营中心(SOC)分析师、事件响应专家、威胁猎人等。
你可能已经明白,“如何”的答案让安全人员能够收集关于犯罪者使用的各种战术、技术和程序的信息,并帮助发现和消除它们。回答“在哪里”可以让我们知道在哪里寻找实施各种战术、技术和程序的痕迹,这使得我们可以采取预防性措施。
让我们继续分析SentinelLabs关于Hive勒索软件的报告,并专注于“技术分析”部分。
描述战术、技术和程序(TTPs)的最佳结构之一是MITRE ATT&CK®。
MITRE ATT&CK®是一个关于攻击者在网络攻击中采取的行动的知识库和分类系统。它由以下主要部分组成:
战术——攻击者的战术目标,如获得对目标网络的初始访问权限。技术——攻击者为实现目标使用的一般方法定义,例如目标钓鱼。子技术——更具体的方法描述,例如使用恶意附件。程序——攻击者具体如何使用技术或子技术,例如在目标钓鱼电子邮件中嵌入恶意的Microsoft Office文档。在本书中,我们将频繁引用MITRE ATT&CK®,因此如果你不熟悉这个知识库,可以访问官方网站:https://attack.mitre.org/
在SentinelLabs报告的“技术分析”部分,首先我们看到初始攻击向量可能不同。遗憾的是,报告中没有具体说明可能的选项。
但我们立即了解到攻击者最喜欢的后期利用框架是Cobalt Strike。不过,报告中没有详细说明它在攻击中的具体使用方式。与此同时,研究人员分享了有关另一种工具的信息,即ConnectWise——一种被攻击者用于维持对被攻破网络访问的合法远程管理工具。正如你从第3章“事件响应过程”中所知,这种工具在与勒索软件相关的团伙中非常普遍。
MITRE ATT&CK®中记录了这种方法。其ID为T1219,名称为Remote Access Software(https://attack.mitre.org/techniques/T1219/)。该方法的要点是,攻击者可以使用各种远程访问工具,如TeamViewer、AnyDesk等,作为备用访问受感染主机的通信渠道。
接下来我们看看报告中描述的其他方法。
首先,我们看到攻击者使用cmd.exe来启动可执行文件。现在我们知道了子技术,即Windows命令外壳(T1059.003)。
此外,攻击者使用rundll32.exe绕过保护措施——这是通过签名二进制代理执行的子技术(T1218.011)。
最后,我们看到的主要目标是获取凭证。在这种情况下,攻击者通过滥用系统库comsvcs.dll来获取lsass.exe进程的转储,即操作系统凭证转储子技术——本地安全认证子系统服务(LSASS)内存转储(T1003.001)。
为什么要进行转储?因为系统会在其内存中存储各种凭证元素,如果攻击者能将内存内容转储到磁盘,他们就能使用各种工具提取有效的凭证。
为了在明文中启用凭证缓存,攻击者使用cmd.exe修改了注册表:
这是MITRE ATT&CK®中记录的另一种方法,即修改注册表(T1112)。
报告中另一个重要的事实是,攻击者在后期利用阶段使用了ADRecon。这是另一个流行的工具,许多勒索软件运营者在网络侦察阶段使用它来从Active Directory环境中提取各种工件。同样,报告中没有说明它在此次活动中的具体使用方式。然而,由于这是一个基于PowerShell的工具,我们可以确定另一个子技术,即命令和脚本解释器——PowerShell(T1059.001)。PowerShell脚本非常普遍,你几乎在所有与勒索软件攻击相关的事件中都会遇到它们。
报告的下一部分专注于分析Hive勒索软件本身。这也可能揭示攻击者的TTP。首先,我们看到该程序是用Go语言编写的,这在勒索软件创作者中越来越受欢迎。另一个重要点是,该程序使用UPX进行打包,这是一种常见的打包工具,许多攻击者用它来绕过一些防护措施。这里我们涉及到文件或信息混淆子技术——软件包(T1027.002)。
接下来,我们看到另一种非常普遍的方法,即许多与勒索软件相关的犯罪分子使用的方法——停止多个进程和服务,以便不受干扰地加密所有文件。MITRE ATT&CK®中也记录了这种方法——停止服务(T1489)。
继续,我们看到勒索软件创建了一个名为hive.bat的批处理文件,用于删除恶意程序的组件。以下是它的内容:
这里我们涉及到在主机上清除痕迹的子技术——删除文件(T1070.004)。
这并不是勒索软件创建的唯一批处理文件。另一个名为shadow.bat的文件被用来删除阴影副本,以防止使用操作系统的内置功能恢复文件。
以下是该命令文件的内容:
这里涉及到抑制系统恢复能力的方法(T1490)。
最后,勒索软件最重要的技术之一是加密数据,以对受害者施加影响(T1486)。
让我们将找到的数据汇总到一张表中。
表4.1. MITRE ATT&CK汇总表
正如表中所示,我们无法从报告中重建整个攻击生命周期,但我们仍然提取了许多TTP,这些知识可以在应对事件和主动威胁搜寻中使用。
我们将在第6章“收集与勒索软件相关的网络威胁数据”中继续分析可用报告。
网络威胁的战术信息
网络威胁的战术信息用于各种安全产品的工作,如安全信息和事件管理系统(SIEM)、防火墙、入侵检测/防护系统(IDS/IPS)等。这些产品利用妥协指标(IoC)。
这一层次的网络威胁信息集中于“什么”——具体发生了什么。传统上,这种分析最为常见,许多供应商提供所谓的供稿——新闻提要或最新信息提要,但目前越来越多的组织转向TTP,因为传统的指标生命周期非常短。
在大多数情况下,这些指标包括IP地址、域名和哈希值。通常哈希值有以下几种类型:
MD5SHA1SHA256这些指标可以通过MISP等网络威胁分析平台进行共享,可以用于研究和检测。
回到我们正在分析的报告。报告中有一个“妥协指标”部分。它包含多个哈希值,包括SHA1和SHA256类型。由于这些是同一文件的哈希值,我们专注于第一种类型——SHA1:
如果使用VirusTotal(https://www.virustotal.com/)等分析各种恶意内容的服务,可以发现所有这些哈希值都与Hive勒索软件的变种有关。
图4.3. VirusTotal中一个哈希值的记录
从检测的角度来看,它们并不十分有用,因为大多数情况下,勒索软件的版本是专为每次攻击定制的,这意味着它们的哈希值不会匹配。
此外,报告中还提到了与Cobalt Strike Beacon相关的IP地址。你总可以收集更多关于IP地址的信息,特别是那些与各种后期利用框架相关的IP地址。例如,可以检查服务器是否与Cobalt Strike相关(见图4.4)。
图4.4. Group-IB MXDR平台收集的关于检查过的IP地址的信息
Group-IB MXDR平台具有构建关系图的功能,可以用于收集关于你收集的指标的更多信息。图4.4中我们看到IP地址176.123.8.228属于Cobalt Strike服务器,因此安全团队应当阻止或检查它。
如你所见,即使分析一个简短的公开报告,有经验的分析师也能收集足够的网络威胁信息,这对应对事件非常有用。
结论
在本章中,我们讨论了各种类型的网络威胁信息,包括战略信息、操作信息和战术信息,它们的区别和目标受众。我们还分析了一份公开的威胁报告,提取了不同类型的数据,以便你能清晰地了解它们的区别。
你已经知道,TTP是攻击者行为最重要的要素,因此在下一章中,我们将讨论许多真实生活中的例子,以便你有一个丰富的实际信息来源,了解人类操作的勒索软件攻击。
from zgao.top
作为一名白帽子黑客,如何打造自己的网络安全军火库?
俗话说:“工欲善其事,必先利其器 ”。
对于白帽子黑客而言,装备 / 工具 / 软件 等资源集合就好比我们的「军火库 」,是否配备完善且得心顺手 ,直接决定了后续战斗中能否更快更准 拿下目标。
作为一名资深工具控 和强迫症患者 ,我在这里不仅仅提供工具清单,顺便还分享下:
如何定义一款好的工具?在不同发展阶段,应该选择怎么样的工作装备?在不同渗透阶段,有哪些必备的“神兵利器”?知识管理方法论,为何能够升级我们的“军火库”?接下来,我们将围绕下面这张图展开 =>
by 拼客学院陈鑫杰 - www.pinginglab.net
我想告诉大家,如何通过工作装备、渗透测试、知识管理 等 3 大类工具来武装自己,打造属于自己的「黑客军火库 」。
1. 工作装备类
工作装备指的是电脑、硬盘、显示屏等硬件设备,这些代表着我们计算、存储、显示 等硬件资源的上限。在我看来,这套装备的好坏,直接决定了整个军火库的输出火力 ,其重要性不言而喻。
如果我们刚入门学习,采用一台普通电脑这样「All in One 」的策略,前期完全没问题。而随着学习和工作的逐渐深入,会有以下这些情况陆续出现:
电脑正在进行密码爆破等工作,CPU 指数爆满干不了其他活儿…虚拟环境用着用着,体积从原先安装的 10G 到现在 50G…对目标站点进行测试时,边测边查资料时,需要频繁切换窗口…项目资料既多又杂,跟个人和学习资料混在一起…某些口子泄露了几个 TB 的社工 ku,可惜硬盘塞不下………上面这些情况,说简单点,就是计算、存储、显示 等硬件资源陆续更不上了。例如,同样对目标做一次爆破,采用「单核 CPU + 集显 + 1G 字典 」 与 「 4 核 CPU + 独显 + 10 G 字典 」的不同配置,无论攻击速度还是成功率,前后有着天壤之别。
既然硬件资源在某种程度上就等同于工作效率,那是不是越强越好呢?
非也。连铲子都拿不稳的时候,给你把 AK47 又能怎样呢?
我们的目标虽是提高工作效率,但同时也提倡适时适度,即在时间、成本、效率之间要做好平衡。
那么,作为白帽子黑客,怎样的工作装备对我们算是一套好装备呢?
我认为,若这套装备能很好满足当下工作需求,能持续提高生产能力,有 2 ~ 3 年的弹性使用空间,那这不仅算一套好装备,而且还算得上是一笔好投资。
考虑到每个人工作年限和发展阶段不同,即便同处同一产业甚至同一岗位,大家需要的装备也会有所差异。因此,我在这里提供入门、进阶、高级 3 套工作装备 供大家参考。
by 拼客学院陈鑫杰 - www.pinginglab.net
入门版 :单机单屏
概述:这个版本比较适合你从入门到入行 1 年内 的阶段。通常情况下,这个阶段你正处于自我摸索和扩充眼界的时候。到处搜集资源学习、搭建虚拟环境做实验、处理公司基础项目需求等等,是你在这个阶段的主要需求。 装备:此时,1 台性能中等的主力电脑设备,能满足你的大部分需求。 推荐配置如下:内存资源:8GB ~ 16GB。内存大小直接决定了能同时跑多少台虚拟机开多少个应用,流畅的测试环境能大幅度提高生产效率,因此,再穷不能穷内存。硬盘资源:≥ 256GB + 1TB。建议将日常高频使用的,放在SSD固态硬盘这里;将虚拟机等体积较大的软件和工具,放在机械或移动硬盘这里。计算资源:≥ 2 核 4 线程。考虑到此阶段多任务处理还不是强需求,因此提供了目前市面上最入门级别的配置。进阶版 :单机双屏
概述:这个版本比较适合你的工作已经进入正轨,例如工作 1 ~ 3 年 的阶段。通常情况下,这个阶段你已经明确了发展目标,并且正朝着某个垂直领域深入研究。在入门需求上,经常处理大中型文档、边学习边工作、多个项目连轴转等等,是你在这个阶段的主要需求。 装备:此时,一台性能强劲的主力电脑设备,外接 1 块显示屏,能基本满足你的大部分需求。 屏幕资源:除了电脑屏,新增的显示屏,能进一步提高我们的效率。例如一屏跑项目 + 二屏做文档,或者一屏干活 + 二屏放电影……内存资源:16GB ~ 32GB。16GB 是这个阶段最入门的配备,如果能到 32GB,基本可以跑起整个攻防实验室。硬盘资源:≥ 512GB + 4TB。高频使用的工具和文档越来越多,建议选配 512 GB固态硬盘。除此之外,可以多采购一些外置移动硬盘,例如 2 * 2TB,或 2 * 4TB,一块放置个人资料,一块放置工作资料,实现公私分离。计算资源:≥ 4 核 8 线程。随着多任务处理开始成为工作主流,建议选配 4 核 CPU,可以胜任大部分场景。高级版 :双机三屏NAS
概述:这个版本比较适合你已经工作有一些年头了,例如工作 3 年以上 阶段。热爱学习且坚持不懈的你,在这个阶段可能成为了团队的主力,能独当一面,开始带队干活。在进阶需求上,解决个人和团队、处理技术和管理、平衡生活和工作等等,是你在这个阶段的主要需求。 装备:此时,采用一主一备电脑设备,外接 2 块显示屏,采用 NAS 存储方案,能基本满足你的大部分需求。 主备电脑的配置,可直接参考进阶和入门装备,这里重点说下「双机 」的使用场景。随着工作上的逐渐成长,我们的生活状态也会陆续发生变化,例如进入结婚生子成立小家庭的崭新阶段。以往,一台主力电脑存储着工作和生活中各种各样的资料,所有事务都在这台机器上处理,没有任何边界;而现在则尽量考虑隐私问题 ,例如增加一台主机,面向个人和家庭,将个人学习、影音娱乐、家庭照片、重要档案等放到这来。另外,入门和进阶装备的存储方案,大体采用「不够了就采购硬盘 」这样的策略,但没有考虑到「硬盘损坏 」的情况。相信有一定工作年限的朋友,很多都有这种“悲痛欲绝”的经历:积累多年的项目文档没了、通宵达旦撸出来的代码库删了、珍藏多年的XXX丢了…… 虽然市面上各种云盘能解决类似问题,但毕竟干安全的,咱会把所有资料往上传?因此,既要满足容量需求 ,还要防止硬盘损坏 ,顺便解决隐私安全 ,那估计就剩这套方案了:基于「NAS」构建自己的云盘。 这套方案啥都好,就是有点费钱 ,这里先不展开……最后,外接显示屏增加到 2 块,与电脑屏实现 3 屏联动,可以适用更多复杂的工作场景。例如,一屏为任务屏 ,展现任务清单和日历安排;二屏为工作屏 ,核心操作都放这;三屏为参考屏 ,给二屏打辅助。2. 渗透测试类
如果说工作装备决定了军火库的输出火力 ,那么,渗透工具则直接决定军火库的攻击效率 。例如:
同样扫全球互联网,有些工具要用 1 个月,有些是 1 个小时同样扫目标站点,有些工具能爆 N 个高危,有些表示“安全无忧”同一字典爆破口令,有些工具占满电脑 CPU,有些还能游刃有余……渗透工具之于黑客,犹如菜刀之于厨师,枪支之于士兵。
因此,如何在成千上万工具中,筛选出自己的必备工具集,这也是一件讲究的事儿。关于这一点,我们可以简单遵循这个原则:同等功能下,能用更短时间、更少资源、更优体验完成目标,这就是一个好工具。
基于这个原则,每个细分领域总能出现一些「神兵利器 」,它们恰好能在体验 和效率 之间取得最佳平衡 ,经过时间的历练,在众多工具中脱颖而出,俘获全球无数忠实铁粉 =>
[目标扫描] 用过 Nmap 才理解,为什么它能成为无数黑客题材电影中,出场率最多的工具。老大哥告诉你,什么才叫单点极致,产品文档应该怎么写,命令参数应该如何设计。[漏洞利用] 用过 Metapsloit 才知道,什么才是真正的开放框架,拥有工程化思想的工具其生命力有多么旺盛。[流量抓包] 用过 Wireshark 才明白,这 TM 才是图形界面,数据包原来是长这样的,互联网底层语言居然是协议字段。……在我看来,上面这些不仅是工具,更像是艺术品 。我们在用它,同时也在享受它。
正是因为这个领域,出现了这样一些开创性工具,后面才会有这么多后起之秀,借鉴其设计思想,站在巨人的肩膀上,在同样或类似领域上奋起直追,形成当前百家争鸣的局面。至此,网络安全的军火库,除了轰炸机和坦克,还有了枪支、手榴弹、瑞士军刀等 。
在此,我根据个人使用经验,整理出这份《黑客必备渗透测试工具集》 v1版,包括环境准备、信息搜集、漏洞分析、渗透攻击、后渗透、网络安全、Web安全、无线安全、软件安全、渗透系统 等 10 个类别。
注1:鉴于能力有限,这里仅罗列我使用过且认为不错的。若你觉得有哪些「神器」必不可少,可以私信我添加。注2:由于工具类比较敏感,此处大部分不提供链接,请自行搜索。
接下来,我们将围绕下面这张图展开 =>
by 拼客学院陈鑫杰 - www.pinginglab.net
2.1 环境准备
开始进入学习或工作之前,我们需要提前搭建好虚拟环境,方便后续实验与工作测试;另外,建议采用 Chrome 和 Firefox 浏览器,并安装好相关插件;与此同时,建议你自行搭建梯子,方便更好地学习和工作。
虚拟环境
Vmware WorkstationVirtualBoxDocker浏览器及插件
ChromeFirefoxWappalyzerShodanHackbarPostmanFirebugProxy SwitchyOmegaTamper data科学上网
暂不提供2.2 信息搜集
所谓知己知彼,方能百战百胜,渗透结果成功与否,很大程度上取决于信息搜集阶段。信息搜集分为被动搜集和主动搜集两种类型,前者通过搜索引擎、威胁情报、社工库等进行,不与目标直接接触;后者基于扫描器、测试工具等展开,与目标接触且能对其造成一定影响。
威胁情报
VirustotalThreatBookOSINT 方法论和开源工具OmnibusOSINT-SPYGOSINTDataSploit360 / 奇安信 / 绿盟 / 腾讯 / IBM 等厂商威胁情报搜索引擎
Google(GHDB)ShodanZoomeyeIP地址查询
站长工具http://ipip.nethttp://ip.cnhttp://ipplus360.comipaddress.myhttp://maxmind.comhttp://ip2location.com域名查询
站长工具ICP备案DNSdumpsterFindsubdomainsDNSrecon企业信息
天眼查企查查综合搜集
MaltegotheHarvester目标扫描
NmapZmapMasscan其他
外网Twitter/Facebook/Youtube/Telegram暗网Tor社工库暂不提供2.3 漏洞分析
利用漏洞情报平台或漏洞扫描工具,分析目标系统可能存在的漏洞与攻击面。
漏洞情报平台 (Vuln / Exp / PoC)
exploit.dbhttp://exploit.shodan.ioseebugvulmon0day.todaycvedetailshttp://cve.mitre.orgsecurityfocuscnnvd / cnvd综合漏洞扫描 (主机/系统/网络/应用)
NessusOpenvasWeb漏洞扫描
BurpsuiteAWVSAPPscanOWASP ZAPNiktow3afWPscan2.4 渗透攻击
基于前期的信息搜集和漏洞分析,我们已掌握了目标存在的漏洞与攻击面。接下来,我们需要选择合适的方式与配套工具进行渗透,包括但不限于漏洞利用攻击、社会工程学攻击、密码攻击等。
漏洞利用
利用已有漏洞信息,加载渗透代码,对目标进行漏洞利用。
MetasploitBurpsuitePocsuite社工攻击
利用社会工程学,采用钓鱼网站、虚假邮件等方式发起社工攻击。
SET(Social Engineer Toolkit)Gophish密码攻击
利用字典/密码库/彩虹表等方式,对目标账号或密码进行暴力破解
密码哈希库 http://weakpass.comhttp://hashes.orghttp://freerainbowtables.com字典生成 crunchCewlCupp密码破解 cmd5HydraL0phtCrackHashcatJoin the RipperRainbowCrack2.5 后渗透
内网渗透、远程控制、横向移动、权限提升、隧道建立、痕迹擦除。
MetasploitMeterpreterCobalt StrikeEmpireMimikatzPowerSploitnishangNetcatPuPyDNScat2LCXNC2.6 网络安全
针对网络协议、网络设备发起的审计和测试,涉及抓包分析、局域网攻击、中间人攻击、DDOS攻击等工具。
抓包分析
WiresharkTcpdumpFiddler科来DDOS攻击
HpingLOIC协议攻击 / 中间人攻击
Cain & AbelSSLtripEttercapBettercap局域网攻击
Yersinia2.7 Web 安全
针对 Web 站点 和 浏览器发起的审计和测试,涉及目录遍历、指纹识别、模糊测试、SQL 注入、XSS / CSRF、Webshell 管理等工具。
渗透测试 / 手工调试
BurpSuite目录遍历
GobusterDirbusterDirb御剑后台指纹识别
WappalyzerWPscanJoomscanWhatwebWhatcmsCMSmap御剑指纹识别SQL 注入
SQLmapHavijPangolinXSS / CSRF / 浏览器
BeEFXSStrikeXSSORCSRFTesterWebshell 管理
中国菜刀中国蚁剑WeevelyC刀模糊测试 / 表单破解
BurpSuiteSecListsFuzzdbPKAV代码审计
RIPS2.8 无线安全
针对 WiFi 无线热点发起的审计和测试,涉及集成框架、钓鱼WiFi、路由器渗透、密码破解等工具。
集成框架 / 平台
Aircrack-ngWIFI Hack AIOCDLinux钓鱼 WiFi
FluxionWiFi-PumpkinWiFiphisherWiFi 热点扫描
CommonViewinSSIDer密码破解
Minidwep-gtkEWSAReaver路由器渗透
RoutersploitWebCrack2.9 软件安全
针对电脑手机软件发起的二进制和逆向分析。
IDA ProOllyDbgWinDbgAPKtools2.10 渗透系统
专注渗透测试领域的黑客操作系统,涉及 Linux 和 Windows 不同发行版。
Linux 发行版
Kali LinuxBlackArch LinuxParrotOSSamuraiWTFWindows 发行版
PentestBoxCommando-vm3. 知识管理类
什么是知识管理?我在另外一篇文章《零基础如何成为一名合格的黑客?》已经做过普及,这里直接摘录:
知识管理,即 PKM(Personal Knowledge Management ),是研究如何科学高效管理知识的一套方法论。 考虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,超过了大部分人的承载能力。因此,如果你要做黑客,那么我推荐你采用 PKM 来构建自己的知识管理系统,持续优化输入输出路径,打造最优学习闭环。采用这个方法论,最终可以让我们得到这个结果:学习能力比别人强一点、成长速度比别人快一点。 这套方法论我已经实践了 10 年有余,2019 年我首次做了体系化的公开分享,有兴趣的朋友可自行搜索。
我认为,作为一名职业黑客,比软件工具更重要的,其实是自己的知识管理能力。
好的知识管理能力,会持续推动自己升级工具集(Toolset), 以此更好应对海量知识与复杂项目。
因此,当我们说工作装备和渗透工具决定军火库的输出火力 和攻击效率 时,则知识管理直接决定军火库的迭代速度 。
by 拼客学院陈鑫杰 - www.pinginglab.net
知识管理能力 包括了 知识管理方法论和工具集,这里暂不展开方法论谈论,直接放置我的知识管理工具集 (部分):
文档处理: Typora、Word、PPT流程绘图: Xmind、Mindmanager、Visio电子笔记: Onenote、Wiznote、Evernote用这些工具做出来的文档 是这样的(直接截取我的课堂讲义):
这些工具的使用场景 ,在我这里是这样的:
当我仅需写一篇博文或记一个日志 的时候,这个时候我会首选 Typora,因为它足够的轻量,不像 Word 那么重,无需关注太多的排版问题,使用 Markdown 语法简单渲染下,便可以输出一篇具备高质量排版的文档。如果这篇文章需要发布到线上媒体平台,随着越来越多平台支持 MD 格式,目前基本上电脑写完,同步发布到线上,得到的阅读体验几乎是一致的,无需做过多二次排版工作,省时省力。当我需要编写一份正式方案或标书 的时候,这类文档从几十到上百页,需要有更专业的文档编排,例如需要有封面封底、目录导航、品牌标识、页眉页脚、图文编排等等,这种场景就非 Word 莫属了,毕竟 “文档处理界的王者” 可不是开玩笑的。当我处在流程规划或头脑风暴阶段 ,这种情况下还没有进行正式文档编写,我会用 Xmind 或 MM 梳理思路,绘制主次脉络,这样得到的导图文件,会成为我接下来编写正式文档的“地图”。当我需要有组织有体系的整理并备份文档 时,我会将其同步到 Onenote 或 Wiznote,形成我的“个人图书馆”,方便在电脑和手机等随时查阅。当我需要项目演示或培训授课 的时候,我会在“个人图书馆”搜索相关文档,用 Visio / Xmind / MM 等辅助制图,最终通过 PPT / Onenote / Xmind / MM 等输出演示文档。……到了这里,我的「黑客军火库」就算正式打造完工了。用最简单的公式表示,其实便是:
黑客军火库 = 工作装备(硬) + 渗透测试(软)+ 知识管理(虚)
回到本题,这里的筛选标准和工具集未必百分百适合你,因此,更重要的建议是:
每位黑客都应该建立自己的标准,结合自己的审美和经验,为自己打造一套专属工具集。
相关问答
通俗来讲,黑客是怎样攻击我们的系统的?黑客攻击我们的电脑首先是需要找到一个漏洞,然后利用这个漏洞,从而达到目的。编写的计算机程序都或多或少有考虑不周全的地方,这个不周全就称为漏洞,只不过这...
英语翻译RT_作业帮[回答]There'salwayscracks总是有裂痕的,Crackofsunlight阳光里的裂痕Crackinthemirroronyourlips镜子里你嘴唇的裂痕,It&...
MobaXterm 的免费试用,使用超出了用户名限额,再创建新主机不...网上有crack版本的买是的这就是996福报,带头优化35+以后的老技术员工的企业...国外技术团队都在致力于丰富web生态,而国内只会抱怨《还是喜欢原来的前端,...
mastercamx2快过期了,有什么方法可以解决?安装环境:windows732位安装步骤:1)安装mastercamx3-web.exe2)运行mastercamX3_crack文件夹下的"mastercamx3.re...
孳生利息是商业银行中的专门术语吗?含义是什么?如...- 汇财吧...[回答]这不是什么专业术语呵呵精灵自动进组我给你解释一下精灵就是说的游戏里精灵那个状态每支队伍里有三个开启精灵的就会有个加成的状态自动进组的意思...
为何CF运行不了?双击打开,右键打开都没反应。-ZOL问答第二步:首先把A盘Crack中的license.dat文件拷贝到任意的一个硬盘上,假设为D盘吧...参考资料:http://webhost.5ewy.com/3ddesign/main/Proe/s...
3dmax2014中Vray渲染器如何正常使用?1、首先,看看这个3dsmax。未安装VRay渲染器时,打开纹理贴图浏览器非常罕见,只是标准材质。2、下载可与Web上的当前版本一起使用的VRay渲染器。注意:不同版本...
求助高手,谁知道图像合成的原理?最好是计算机人士啊,要比较专业的~?CSNWNetware客户服务client客户,客户机client/server客户机/服务器code代码COMportCOM口(通信端口)CIX服务提供者computer...
果果直播间,果果直播间最新版V1.61.26pic.twitter.com/RX0XVw18ggJulianaStone(@AY4WEB)September28,2016Trumppatriotshonorourflag:J...
英语论文的页眉是否要横线边框在页眉输入内容后会自动添加横线如不要,刚可删除后再自画直接在工具样中选中视图----工具栏---绘图用直线来画就可以了,按住SHIFT可以画出直线...