使用模糊或随机名称创建新文件和目录；

顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。“webshell”常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。“中国菜刀”就是一种应用非常广的webshell，其大小仅有4kb。

以最近的一个攻击案件为例：2017年，黑客组织APT19在多起针对跨国法律与投资公司的钓鱼攻击活动，就使用了嵌入宏的Microsoft Excel文档（XLSM），而该文档就是由PowerShell Empire生成的。

尝试连接已知的恶意IP地址；

HUC数据包发送器（HTran）是一种代理工具，用于拦截和重定向从本地主机到远程主机的传输控制协议（TCP）连接。该工具至少自2009年起就已经在互联网上免费提供，并且经常能够在针对政府和行业目标的攻击活动中发现其身影。

由于它是构建在一个通用的合法应用程序（PowerShell）上，并且几乎可以完全在内存中运行，所以使用传统的防病毒工具很难在网络上检测到Empire。NCSC指出，PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中已经变得越来越受欢迎。

2017年，Mimikatz 重新回到了人们的视线中，它成为了 NotPetya 和 BadRabbit的组成部分，而这两个勒索蠕虫已经击垮了乌克兰，并且蔓延到整个欧洲、俄罗斯和美国。其中，仅 NotPetya 就导致了马士基、默克和联邦快递等公司数千台电脑的瘫痪，已经造成 10 亿多美元的损失。

Mimikatz 能在极短的时间内从计算机内存中抓取 Windows 用户的密码，从而获得该计算机的访问权或者受害人在网络上的其他访问权。如今，亚洲服务器租用 欧洲服务器，Mimikatz 已经成为一种无处不在的黑客渗透工具，入侵者们一旦打开缺口，就能迅速从一台联网设备跳到下一台。

有些木马程序被称为远程访问木马，被设计用于远程操纵用户的计算机，让黑客可以完全控制。有些则可能有不同目的，例如窃取个人信息，侧录键盘，甚至将受害者计算机作为僵尸网络的一部分。

感染迹象包括：

无法打开Windows注册表编辑器或任务管理；

事实上，最初Benjamin Delpy只是将Mimikatz作副项目来开发，欧洲服务器租用 云服务器，旨在更加了解Windows的安全性能和C语言，同时意在向微软证明Windows密码中存在的安全漏洞。但也正如Delpy所言，虽然Mimikatz不是为攻击者设计的，但是它却帮助了他们，任何一个事物，有利就有弊。由于Mimikatz工具功能强大、多样且开源的特性，允许恶意行为者和渗透测试人员开发自定义插件，因此，近年来开始频繁地被众多攻击者用于恶意目的。

2. 中国菜刀（China Chopper）

防御建议

虽然，这些工具开发初衷通常并非用于恶意企图，而是帮助网络管理员和渗透测试人员查缺补漏，但是，渐渐地，这些工具自身所具备的强大特性却吸引了越累越多恶意行为者的关注，并开始频繁地将其用于恶意攻击活动中。

据悉，JBiFrost RAT是一款基于Java的、跨平台且多功能的远程访问木马。它可以对多种不同的操作系统构成威胁，具体包括Windows、Linux、MAC OS X以及Android。JBiFrost允许恶意行为者在网络上横向移动，或安装其他恶意软件。它主要通过网络钓鱼电子邮件作为附件进行传播。

首先，防御者应该禁止在LSASS内存中存储明文密码。这是Windows 8.1 / Server 2012 R2及更高版本的默认行为，但用户可以在安装了相关安全修补程序的旧系统上更改这种默认设置。

防御建议

我们经常听到大家说网络被攻击了，最近也是越发频繁，网络被攻击是非常棘手的问题，梦飞科技专注于服务器租用/托管18年，接下来小编来谈谈最常用的黑客攻击工具以及防御方法，希望对你有帮助。

防御建议

防御建议