在哪儿能够寻找 *** 黑客帮助-怎样根据主动威胁鉴别 *** 发觉远程访问木马病毒
如果我们能不断不断将已经知道的远程访问木马病毒(remote access trojan,RAT)操纵端部位结合到当今的防御力工作内容及其无损检测技术中,那麼此项工作中毫无疑问能充分发挥非常大的功效,它能够与內部遥感技术技术相结合,自动检索潜在性的已感柒服务器。但对全部领域来讲,此项工作中更多方面的使用价值取决于可以掌握掩藏在每一个RAT后边的敌人,进而减少安全隐患。
对潜在性敌人归因追溯显而易见是十分艰难但又十分非常值得的,由于我们可以依据敌人的主观因素推断其应用的具体做法,这类状况下,探寻攻击者的工作能力及基础设施建设便会变成大家的附设宝箱。我们可以应用很多好 *** 获得归因結果,在其中之一便是开发设计一套初始的归因方式。在文中中,大家详解了主动型信息服务枚举类型方式,运用该方式鉴别出包含njRat及其Dark Comet以内的恶意代码。
找黑客改了考试成绩以后后悔莫及二、情况
远程访问木马病毒(RAT)[1]是具有丰富多彩作用的操纵端(或服务器端)手机软件套服,攻击者能够应用RAT,以隐秘 *** (如同其名)及其未受权 *** 浏览受害者的电子计算机。攻击者一般会出自于故意目地,应用RAT视频录制受害者服务器上的声频、视頻及其电脑键盘敲打姿势、盗取文档及其进行别的故意个人行为[2]。
即便 商用的RAT创作者被拘捕后,很多攻击者(尤其是犯罪嫌疑人及其国家级别攻击者)依然会再次应用这种RAT进行进攻主题活动[3]。国家级别攻击者常常应用例如Poison Ivy[4]及其相近RAT进行进攻行動,由于这种RAT便于配备、可多次重复使用度较高,而且这种RAT依然是抵抗电脑杀毒软件的合理专用工具。这类状况对找黑客改了考试成绩以后后悔莫及于独裁政权尤其显著,她们会应用RAT在国地区抓捕政冶异见人士[5]。
犯罪嫌疑人往往应用RAT,是由于应用这类专用工具的技术性门坎很低,能够根据完全免费的互联网技术获得怎样合理实际操作RAT的有关手册[6],这种手册內容包含怎样对RAT开展封裝或数据加密以避开电脑杀毒软件;怎样根据RAT操纵好几个受害者;及其怎样创建基础设施建设[9](如动态DNS,DDNS[10])以得到 长期性的决策权。
与传统式的拒绝服务攻击(botnet)不一样的是,大家一般会将安裝在被害服务器上的商用RAT文档(可执行程序)称作“server”(服务器端,能够根据各种各样 *** 开展散播),而将RAT操纵者服务器上的文档称作“client”(手机客户端)或是“controller”(操纵端)。
依据过去的历史时间,安全社区一般会依靠主动型恶意程序搜集技术性找黑客改了考试成绩以后后悔莫及来鉴别RAT群族及趋势。样版来源于包含顾客地理信息系统、蜜獾及其恶意程序解决及汇聚服务项目(如VirusTotal)。尽管这种資源十分有效,但大家难以使用这种資源迅速及积极鉴别特殊RAT群族的全部的活跃性案例。除此之外,公司所可以依靠主要是的处于被动反映方式的衍化結果,数最多只有获得与恶意程序样版源一样好的結果。
现如今,威胁情报精英团队仍然取决于解决大批的恶意程序样版来计算出恶意程序的进攻指示仪(indicators of compromise,IOCs),进而在防御力技术性中形成查验恶意程序的新标准。这类方式在一部分情景下依然合理,但必须依靠很多的云计算服务器及其互联网技术資源,才可以解决安全性生产商每日搜集的不计其数的故意样版。如今的难题是,就算是整体实力强劲的防病毒软件企业,也遭遇很多平时样版所产生的挑戰。
处理的 *** 是应用主动型和迭代更新式规模性互联网技术枚举类型(扫描仪)技术性,这类技术性使公司可以鉴别搭配具备特找黑客改了考试成绩以后后悔莫及定RAT签字的服务器,这种服务器在迅速归因攻击者层面很有可能会具有立即功效。
以前大家根据流行的恶意程序資源(如VirusTotal及其#totalhash)没法发觉很多RAT作业者的所在位置,如今大家应用这类扫描仪方式就可以做到这一总体目标。除此之外,很多RAT操纵端坐落于家庭装ISP(互联网技术服务供应商,Internet Service Provider)的子网中,大家有可能根据这类IP地址发觉RAT作业者的物理学部位。
三、初始资源搜集方式
当Nmap[11]是互联网技术扫描仪的唯一选择项时(而且在缺乏自定多线程线程同步扫描枪的程序流程撰写时),规模性的互联网技术扫描仪看起来有点儿脱离实际。伴随着Unicorn 找黑客改了考试成绩以后后悔莫及 Scan[12]的公布,及其近期Zmap[13]和MASSCAN[14]的公布,我们可以应用一台连接 *** 机器设备在相对性较短的時间内(以分鐘计),进行互联网技术所有IPv4详细地址室内空间的枚举类型。除开检测开放端口,这种专用工具还能够回到守护进程的banner(指纹识别)信息内容,这种信息内容对鉴别RAT操纵端而言十分有效。端口扫描器专用工具一般是用以鉴别和统计分析对互联网技术对外开放的特殊服务项目,在综合执法及其技术性防御力层面,应用这类专用工具来鉴别和叙述RAT都能具有十分大的功效。
如果我们往RAT操纵端所监视的端口号推送适合的要求,那麼RAT便会回到特殊的回应(或字符串数组)。大家不容易在这个汇报中涉及到RAT有关的独特签字,以防提升此汇报的篇数,但特殊签字确实是鉴别RAT群族的立即方式。在一些状况下,即便 根据最基础的TCP三次握手[15]全过程,大家也可以发觉某一RAT操纵端回应数据信息。特有的回应数据信息便是一个指纹识别信息内容,我们可以依据找黑客改了考试成绩以后后悔莫及这一信息内容发觉某台异常服务器上是不是已经运作某一RAT操纵端(或操作面板)。因而从实质上而言,RAT操纵端及其操纵者全是存有缺点的,由于她们一般是在对外开放的互联网技术上实际操作,而且在接纳适合的要求后会回到与众不同的回应字符串数组。
为了更好地叙述某一个RAT群族,大家必须搜集有关的样版及其(或是)详细的数据文件。幸运的是,有很多安全性科学研究工作人员不求回报地公布了用于形成相对的互联网数据文件[16]的恶意程序(及恶意程序)。
根据已捕捉的数据文件,我们可以剖析RAT操纵端回应数据信息,根据这种数据信息形成指纹识别信息内容,这种指纹识别信息内容接着能够与互联网技术扫描枪相互配合应用,用于鉴别RAT操纵端即时案例,在一些状况下,也可以鉴别RAT作业者的家中IP地址及其大概的所在位置。
例如,某一十分时兴的RAT在接受HTTP GET方式后会回到一內容为“0”的回应包。
应用MASSCAN专用工具,枚举类型阿塞拜疆的一个/20子网,大家发觉某台服务器的1177端口号的指纹识别特点与之相符合。
与这类一样是,枚举类型尼日利亚的一个/16子网,大家可有发觉有几台服务器监视1177端口号,但仅有一台(197.205.47.239)考虑所述特点:
我们可以应用Curl[17]或是Python Scapy[18]以进一步确定結果。
除此之外,很有可能一些合理合法服务项目也会回到內容为“0” 的回应包,这类状况下我们无法彻底确定这类RAT积极检测結果的准确性。大家仅仅为此为例子,根据一个十分独特的RAT操纵端回应字符串数组来叙述一个RAT。
另一个事例是Havex RAT[19]。Netresec在二零一四年发布了一篇內容宽裕的文章内容[20],剖析了Havex的通讯方式。特别注意的是,Havex的回应数据信息中包括“havex”这一字符串数组。找黑客改了考试成绩以后后悔莫及
四、扩展资源搜集方式
做为一个信息服务百度搜索引擎,由Johan Matherly建立并开展维护保养的Shodan[21]也刚开始着眼于规模性地鉴别RAT。与传统式的漏洞扫描工具对比,Shodan包括很多优势,包含非特性化每日任务、不用搭建和维护保养基础设施建设就能持续扫描仪,除此之外,对于著名的端口号和服务项目,Shodan还包括了数以千计的特点签字数据信息。Shodan的Web插口和cmd插口(command line interface,CLI)也很容易入门,针对给出的随意服务器,Shodan会在百度搜索中回到全部能用的端口号信息内容。
Shodan的特点数据信息中一样包括RAT特点,比如Black Shades、Dark Comet、njRAT、XtremeRAT、Posion Ivy及其Net Bus。因而,对鉴别主题活动的RAT操纵端来讲,Shodan是一个十分有效的一手情报源。虽然結果总数各有不同,但Shodan大部分可以在随意一天内鉴别出400到600个不一样的找黑客改了考试成绩以后后悔莫及RAT操纵端。从二零一五年9月18日刚开始的鉴别結果能够在Recorded Future的GitHub网页页面上免费下载。
自二零一五年10月初至今,Shodan在某一周统计分析出的不一样的RAT操纵端IP总共633个,在以后的一周内,VirusTotal推断出在其中有153个与恶意程序相关,换句话说二者有24%的相关关系率[22]。因而,在将故意样版递交到VirusTotal以前,我们可以应用Shodan来鉴别RAT操纵端案例,这也证实Shodan是一个十分合理且尤其的威协素材图片源。
除此之外,很多RAT的IP地址坐落于住房(及其动态分配的)互联网中。RAT作业者常常立即在家里运作RAT操作面板,由于应用 *** 会提升延迟时间,进而减少操纵感受,尤其是当RAT作业者要想获得受害者监控摄像头(或是 *** 摄像头)的rtmp协议时,这类特性减少更为显著。在一些我国中,非受权浏览电子计算机是一种违法犯罪,执法部门只必须向互联网技术服务提供商推送一份发传真(或相近物品),就会有很有可能鉴别出RAT作业者的真实身份及其住房详细地址。
在二零一五年8月16日至21日期内,Shodan统计分析了RAT結果,整理出一份包括471个不一样的RAT操纵端位置信息的目录[23]。
依据201年10月和10月的結果,大家进一步丰富多彩了RAT操纵端位置信息,便于掌握不一样的RAT案例、相匹配的操纵者及其操纵者的主观因素。
五、进一步丰富多彩资源
如同上文所叙述的,VirusTotal依据关系的恶意程序元数据信息进一步确定并丰富多彩了RAT操纵端結果。别的有使用价值的源也包含Team Cymru及其Recorded Future,这种源都出示可编找黑客改了考试成绩以后后悔莫及程作用。
Recorded Future的API出示了开源系统判证及数据信息丰富多彩作用。大伙儿能够在Recorded Future的Github网页页面上寻找一个Python API脚本 *** ,运用这一脚本 *** 能够形成与RAT IP地址相关的完整篇的Recorded Future結果。
依据Shodan的RAT操纵端IP地址目录,Record Future在10月初梳理出了一份結果,一部分样版以下所显示:
为了更好地进一步丰富多彩二零一五年8月16日-21日搜集的RAT操纵端详细地址信息内容,大家将有关的IP目录递交到Recorded Future及其Virus Total。Recorded Future的IOC脚本 *** 会回到一张“实体线信用卡”,汇总了全部能用的信息内容。该脚本 *** [24]另外也会依据键入的网站域名回到基本信息,这种域名是Virus Total依据初始的RAT操纵端IP目录形成个人所得。
六、对RAT作业者的主动型归因追溯
6.1 实例1-VirusTotal
今年初,Shodan鉴别出了某一 Dark Commet控制端,该控制端所在地址为90.212.68.218,属于英国的Sky Broadband运营商。
我们可以根据VirusTotal的恶意软件样本的文件名(“DeathBotnet!.exe”)以及域名(“yobrohasan[.]ddns.net”)来快速丰富这个IP地址的相关信息。“Yobrohasan”是个特殊的字符串,指向snog.com上某个昵称为“yobrohasan”的人,该网站目前已下线,这个人的快照如下所示:
我们无法将这个Dark Comet实例完全与这个人相关联,因为RAT操作者很有可能有意识地使用“yobrohasan”这个子域名作为虚假身份开展攻击活动,也有可能RAT操作者因为很讨厌“yobrohasan”这个人才选择这个域名,甚至有可能攻击者只是随便选了一个域名找黑客改了成绩之后后悔而已。正如前文所述,归因溯源是一件很难的事情,这个例子给我们提了一个醒。
6.2 示例2-Team Cymru
2015年7月,Team Cymru观察到某个njRAT控制端的IP地址(5.28.184.242,属于以色列的Ramat Gan Hot Internet运营商)与196.36.153.134这个IP地址(属于南非的Internet Solutions运营商)之间存在基于大端口的UDP会话。
除了在1177端口上识别出njRAT,Shodan还识别出该地址在1900端口上运行的UPnP服务、在80和8080(“WWW-Authenticate: Basic realm=”NETGEAR DGN2200找黑客改了成绩之后后悔v2BEZEQ”)端口上运行的HTTP服务,这表明5.28.184.242这个主机可能也充当了 *** 角色。
2015年7月,Team Cymru检测到xheemax.x64.me域名的A记录解析为5.28.184.242。“xheemax”子域名是一个特殊的字符串,该子域名是通过x64.me的DDNS服务生成所得。目前该域名解析结果为149.78.239.193(属于以色列的PSINet运营商)。
自2011年开始,很多论坛上都可以找到“xheemax”这个标记,攻击者使用这个标记来“禁用笔记本摄像头上的小灯”[25]。CryptoSuite网站上有一个“xheemax Hakkinda”页面[26],介绍了与之有关的一些资料,其中“About 找黑客改了成绩之后后悔 Me”章节包含“RAT”和“Cybergate.”信息。
2014年,Team Cymru的#totalhash页面[27]同样识别出与这个RAT有关的域名xheemax.no-ip.info(地址为204.95.99.109),相应的SHA1哈希[28]为329ed5ef04535f5d11d0e59a361263545d740c61。
6.3 示例3-Maltego
将Shodan在2015年8月17日-21日生成的RAT控制端IP导入Maltego,我们可以找到许多共同点。
具有最多边数的那些节点都与IP地址位置检查有关。Maltego的原生transform可以将50多个RAT控制端IP地址与包括localiser-ip[.]com以及iplocationtools[.]com在内的网站关联起来。此外,在pastebin[.]com上也识别出了包含可疑IP地址的多个历史列表。
我们可以对大型数据集进行可视化呈现,通过节点共性识别图中的&找黑客改了成绩之后后悔ldquo;阻塞点(choke points)”,这些“阻塞点”(在这个案例中)包括敌方所用的资源以及(或者)技战术,防御方可以通过识别这些信息来提高防御技术的有效性。
6.4 示例4-Recorded Future
Recorded Future将某个RAT控制端的IP地址与Pastebin上某个网页匹配关联起来。根据这个Pastebin页面(http://pastebin.com/cU4WX0hs)所述,这个IP地址的所有者为“Daniel”,其中还列出了Daniel的个人身份信息(personally identifiable information,PII),包括生日、电子邮件、以及找黑客改了成绩之后后悔位于英国牛津附近的实际地址。
该页面中,作者进一步声称,“Daniel”供职于“powerstresser[.]com”,这个网站作为“压力测试”服务器,所提供的“引导者”服务[29]在伦理上存在争议。如果该信息准确无误,这意味着归因溯源这个案例所涉及的RAT操作者是一件非常简单的事情。
七、总结
正如本文所述,原始的、专业的及可扩展的情报收集 *** 对行政执法以及企业防御领域非常有用。在RAT开始传播之前,如果能够识别RAT控制端地址及操作者,那么就能减少恶意软件处理所占用的资源。
诸如Recorded Future之类的威胁情报数据拓展源有助于对攻击者的归因溯源。本文围绕RAT操作者展开分析,分析结果能增加我们对攻击者的动机、所用工具、所用技术及攻击过程的了解。
针对已知RAT特征的主动及可重复的互联网枚举技术找黑客改了成绩之后后悔可以为我们提供恶意目标的一手素材来源,更重要的是,这种技术还能让我们进一步识别并理解对手的战略意图。
从本质上来讲,RAT操作者是存在弱点的,因为他们经常在开放的互联网上进行操作,并且他们所购买和下载的RAT在接收合适的请求之后会返回特定的响应字符串。此外,这个弱点不仅限于此,因为RAT服务所监听的特定端口也是我们用来突破攻击者计算机的一个远程入口。
八、攻击指示器(Indicators of Compromise,IOCs)
报告引用的所有IOCs都位于Recorded Future的GitHub仓库中。
九、备注及参考链接
[1] 远程访问工具(remote access tool,RAT)是系统管理员合法使用的工具。在本文中,RAT特指用于恶意目的的木马。
[2] http://www.washingtonpost.com/news/morning-mix/wp/2014/05/20/5-scary-things-about-blackshades-malware/
[3] http://www.darkreading.com/over-90-arrested-in-global-fbi-crackdown-on-blackshades-rat/d/d-id/12找黑客改了成绩之后后悔52912
[4] http://www.crn.com/news/security/240160369/poison-ivy-attack-toolkit-with-ties-to-china-linked-to-other-hacking-groups.htm
[5] http://www.seculert.com/blog/2014/01/xtreme-rat-strikes-israeli-organizations-again.html
[6] https://www.reddit.com/r/hacking/comments/2acwpb/how_to_setup_dark_comet_rat_with_download_and/
[7]找黑客改了成绩之后后悔 https://www. *** .com/watch?v=QmH_ojSZoRU
[8] https://www. *** .com/watch?v=5szajA_Xbps
[9] https://www. *** .com/watch?v=fltTqccBmzY
[10] https://www. *** .com/watch?v=tXVGLb96WHU
[11] https://nmap.org/
[12] http://sectools.org/tool/unicornscan/
[13] https://zmap.io/
[14] https://github.com/robertdavidgraham/masscan
[15] https://support.microsoft.com/en-us/help/172983/explanation-of-the-three-way-handshake-via-tcp-ip
[16] http://contagiodump.blogspot.com/2013/04/collection-of-pcap-files-from-malware.html
[17] http://curl.haxx.se/
[18] http://www.secdev.org/projects/scapy/
[19] https://www.securityweek.com/attackers-using-havex-rat-against-industrial-control-systems
[20] http://www.netresec.com/?page=Blog&month=2014-11&post=Observing-the-Havex-RAT
[21] https://www.shodan.io/
[22] 找黑客改了成绩之后后悔 找黑客改了成绩之后后悔 VirusTotal的结果可以在Recorded 找黑客改了成绩之后后悔 Future的Github页面下载。
[23][24] https://github.com/recordedfuture/ioc-enrichment
[25] https:// *** av.ru/archive/index.php/t-8112.html
[26] https://cryptosuite.org/forums/17093xheemax.html
[27] https://totalhash.cymru.com/network/dnsrr:xheemax.no-ip.info
[28] https://www.virustotal.com/en/file/3616af88323a25786b8da40641798fc1569b678f84ed6520035941066724682d/ *** ysis/
[找黑客改了成绩之后后悔29] http://www.eweek.com/security/how-do-booters-work-inside-a-ddos-for-hire-attack%20
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf
黑客不是相当就当的,因为系统都是由代码和英语组成,文化程度必须高,尤其是理科成绩,而且,而且数学逻辑思维必须好,编程需要。如果你只是初中。还是建议你再。在哪可以找到黑客帮忙
黑客盗微信界上就没有什么隐私保护”再怎么保护还是有人可以知道!不是吗?现在这个社会这个技术有钱还怕什么办不到的呢。钱也许不是万能的但也算得上“千能”。
在哪可以找到黑客帮忙我现在也是菜鸟黑客 我的工具: SuperScan 第八军团3389登录器 HDSI NBSI Domain 3.5 Hgzmm911 灰鸽子找黑客改了成绩之后后悔 木马彩衣 啊D注入工具 目录导航者 还有自己顺手。
。在这里我就说说常用的安全练习工具吧 希望大家有用!冰河冰河是更优秀的国产木马程序之一,同时也是被使用最多的一种木马 。说句心里话,如果这个。
相信所有想学习黑客的朋友,都想找一套好一点的教程,那好一点的教程要有哪些标准呢?我认为至少要具备以下几点:1.基础课程全面;2.教程认知度高;3。在哪可以找到黑客帮忙
如果黑客成功将木马安装到你的系统漏洞中,其甚至可以远程控制你的电脑,所有文件都可以获得。
在哪可以找到黑客帮忙。电脑申请:1、百度搜索【 *** 注册】,在网页左上侧有三种选择注册方式。之一种:【123 *** 账号】填写你注册 *** 的相关信息。给自己起一个 *** 昵称,设置自己。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
