网络犯罪分子中流行的远程控制工具

©网络研究院

远程访问工具已成为对组织的多功能支持。但是，这些工具存在风险；被网络犯罪分子用来对付组织的风险。以下是他们使用的一些远程访问工具，由 AhnLab 描述。

Remote shell

• 这是最常用的远程访问工具，可以分为反向shell和盲shell。 
• 一旦远程 shell 部署在受感染的系统上，攻击者就可以接管受害者系统并执行命令。 
• 最新版本的Ursnif 银行木马，称为 LDR4，用作后门木马，并试图将 VNC 或远程 shell 放入受感染的机器。

RATs

• 在暗网上销售的最受欢迎的 RAT 包括RedLine Stealer 、NanoCore 、BitRAT和Remcos RAT 。
• 除了上述之外，另一种 RAT 是Gh0stCringe ，它是 Gh0st RAT 的一种变体。3 月，Gh0st 被发现针对 Microsoft SQL 和 MySQL 数据库服务器。
• 甚至攻击者也制作了自己的后门，例如Kimsuky 和 NukeSped 组的 AppleSeed、NukeSped和 PebbleDash。朝鲜支持的 Lazarus APT 被发现滥用 Log4j 漏洞最终放弃NukeSped后门进行网络间谍活动。 

Cobalt Strike

• Cobalt Strike 是红队使用的进攻性安全工具。然而，攻击者越来越多地使用它进行恶意活动。 
• 最近，HHS警告说，在医疗保健领域，Cobalt Strike 感染会增加。渗透测试工具主要被国家支持的威胁行为者利用，包括Mustang Panda 、APT10 、APT41和Winnti 。 
• Black Basta 勒索软件组织一直在使用 QAKBOT、Cobalt Strike 和 Brute Ratel（另一个红队工具）进行网络入侵。 

AveMaria or Warzone RAT

• Warzone RAT 通常通过垃圾邮件发送。它可以执行多种任务，包括远程 shell 执行和键盘记录。 
• 9 月，俄罗斯Sandworm APT组织被发现伪装成电信提供商，使用商品恶意软件瞄准乌克兰。最终目标是在关键系统上部署 Warzone RAT 和 Colibri Loader。
  
  

远程访问工具越来越多地被利用，因为它们可以让攻击者以多种方式损害受害者的网络和系统。

因此，安全团队需要检查正常的授权活动并强制执行。采用积极主动的网络安全策略和实施基本的网络安全对于保护组织免受安全威胁至关重要。

原文始发于微信公众号（网络研究院）：网络犯罪分子中流行的远程控制工具