Five Eyes-landen publiceren rapport over populaire hackingtools

[Captain Kirk]

De Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse overheid, ook bekend als de Five Eyes-landen, hebben een rapport gepubliceerd over vijf publiek beschikbare hackingtools die bij recente cyberaanvallen wereldwijd zijn ingezet (pdf).

Op deze manier hopen de autoriteiten netwerkbeveiligers te helpen bij het verdedigen van hun netwerken. De eerste hackingtool die wordt genoemd is JBiFrost, een remote access trojan (RAT) waarmee een aanvaller besmette machines op afstand kan bedienen. De RAT is voor verschillende platformen beschikbaar (Android, Linux, macOS en Windows) en is onder andere gebruikt om gevoelige gegevens bij organisaties te stelen.

De tweede tool is China Chopper, een webshell die aanvallers op al gehackte webservers installeren. Op deze manier kunnen de aanvallers op de webserver inloggen. China Copper wordt al sinds 2012 ingezet. Het rapport laat weten dat er eenvoudige manieren zijn om via de commandline op de aanwezigheid van de webshell te zoeken.

Mimikatz is de derde hackingtool die in het rapport wordt genoemd. Een onder aanvallers zeer populaire tool voor het stelen van wachtwoorden en wachtwoordhashes. Het werd al in 2011 gebruikt bij de aanval op de Nederlandse certificaatautoriteit DigiNotar. Ook de aanvallers achter de NotPetya- en BadRabbit-malware maakten gebruik van Mimikatz.

Het PowerShell Empire, een framework om lateraal door een netwerk te bewegen, wordt als vierde tool genoemd. Voordat het framework kan worden ingezet moet een aanvaller al toegang tot een systeem hebben. Het was ontwikkeld als een legitieme tool voor penetratietesters, maar is de afgelopen jaar zeer populair onder statelijke actoren en georganiseerde criminelen, zo laat het rapport weten.

Het rapport sluit af met de hackingtool HTran. De HUC Packet Transmitter (HTran) is een proxytool die wordt gebruikt om tcp-verbindingen van de local host naar een remote host te onderscheppen en aan te passen. Hierdoor kan een aanvaller zijn verkeer van het gehackte netwerk obfusceren. De tool is al sinds 2009 op internet beschikbaar.

Naast specifiek advies over de vijf genoemde hackingtools geeft het rapport ook verschillende algemene aanbevelingen. Daarin wordt onder andere gesteld dat organisaties hun mensen als eerste verdedigingslinie moeten beschouwen.

 

 

bron: security.nl