风险应用指的是那些可能对用户的安全、隐私和设备造成威胁的应用程序。这些应用可能会包含恶意代码、数据泄露功能或以其他方式滥用用户数据。
风险应用主要用于快速排查资产存在的风险应用,根据资产agent上报的软件信息结合XDR平台内置的风险应用列表进行匹配,快速排查资产风险应用。目前XDR平台支持25种风险应用检测,涵盖主流攻击入侵入口。目前该功能仅支持任意版本XDR联动EDR3.7.2及以上版本生效。
| 应用分类 | 应用名称 | 应用描述 |
| 黑客工具 | ProcessHacker | Process Hacker是一款针对高级用户的安全分析工具,它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。基于攻击者视角,其可反向利用该工具的强大功能,在执行勒索病毒之前,破坏主机的本地防护机制(保护进程),防止加密过程被中断。基于受害者的视角,被该工具进行攻击后,本机的本地防护机制可能会被破坏,在失去防御进程的保护后,主机更容易遭到勒索病毒或木马的入侵,若联合其他横向工具进行攻击,则域中各主机包括域控也将面临失守的风险。 |
| 黑客工具 | PCHunter | PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以找出电脑中的潜伏的病毒木马。基于攻击者视角,在执行勒索病毒之前,可利用该工具将本地保护机制破坏,如结束保护进程、破坏关键注册表键值等,以便顺利执行勒索病毒。基于受害者视角,与ProcessHacker工具一样,本机中的安全保护进程将被该工具强制结束,使主机无法对接下来的勒索病毒、木马等攻击进行防御,极其容易被勒索成功,造成文件资料及资金损失。 |
| 黑客工具 | Mimikatz | Mimikatz是一款基于Windows下的内网渗透工具。基于攻击者视角,黑客可使用该工具,利用lsass.exe进程,直接获取Windows处于激活状态账号的明文密码。基于受害者视角,一旦本主机的账号密码被获取,相当于本机落入了敌方之手,接下来攻击者便会借用该主机的权限,去访问并攻击域中其他主机(包括域控在内),使得整个域面临失守的风险。 |
| 黑客工具 | PsExec | PsExec是一款代替Telnet的远程交互工具,可以无需安装即可执行其他主机系统中的进程,且该工具可以获得与控制台应用程序相当的完全交互性。由于该工具被微软设计时有正当管理功能,具有微软官方签名,很少有杀毒软件会将该软件列入病毒查杀黑名单。于是攻击者在勒索等攻击中,常使用该软件进行远程病毒执行和病毒内网扩散。 |
| 黑客工具 | Nasp | Nasp是一款内网扫描工具。攻击者可利用该工具对指定网段内存活的主机以及存活主机的端口开放情况进行判断,以达到扩展攻击面的目的。基于受害者角度,扫描器将本主机所开放的端口及服务信息掌握,随后本服务器将被黑客有针对性的或对存活端口进行爆破,或对该端口承载的服务进行攻击,造成服务器不能正常运转、影响服务器功能,使业务受到损害等严重后果。 |
| 黑客工具 | KPortScan | KPortScan是一款端口扫描工具,常被攻击者应用在内网扫描,攻击者可利用该工具发现内网中潜在的攻击目标,针对主机端口存活情况进行扫描,便于后续爆破、连接等操作。基于受害者视角,若被探测成功,端口及其所搭载的服务均会被黑客攻击,轻者影响正常业务进行,重者服务完全受损,更甚会对服务器本身造成威胁。 |
| 黑客工具 | Netpass | Network Password Recovery(系统管理员密码查看器)是一款功能强大的系统管理员密码密码找回软件。从攻击者的角度,黑客会利用该软件获取目标主机的管理员密码,更好的为勒索病毒等攻击方式进行铺垫。基于受害者角度,系统管理员密码被黑客掌握后,将会以本机管理员身份对域中其他主机进行访问,可能会采取一系列的恶意行为。 |
| 黑客工具 | CobaltStrike | CobaltStrike是一款团队渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等功能。 攻击者可使用该C2平台,生成各类通信协议的二进制文件,使受害者主机主动与服务端进行通信。客户端可采取各类攻击手法,如权限提升、窃取票据、钓鱼等,对受害者主机及其域环境进行侵害。 |
| 黑客工具 | Frp | Frp是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 https 应用协议提供了额外的能力,且尝试性支持了点对点穿透。基于攻击者角度,攻击者可将NAT或防火墙后面的本地服务器公开到Internet,进行流量转发,使内网主机被暴露在公网中,可被任何人访问。基于受害者角度,身处内网的主机被暴露在公网后,主机敏感信息将受到威胁,风险系数增加。 |
| 黑客工具 | Fscan | Fscan是一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。基于攻击者角度,攻击者可以通过该工具,对指定网段进行扫描,探测主机存活情况;可对各类服务、数据库等(ssh、smb、mysql等)进行爆破;可对目标主机进行漏洞扫描,如ms17010等;也可对主机直接进行漏洞利用,直接添加用户,写入计划任务等。基于受害者角度,若本机安全防御较为脆弱,被该扫描器进行攻击后,可能会造成主机沦陷的情况,若主机被接管,下一步就是对主机中信息进行窃取,并有可能通过该内网主机进行病毒扩散等危险行为。 |
| 黑客工具 | NetworkShare | NetworkShare是一款网络共享扫描工具,用于发现网络共享资源。黑客利用该工具,在内网中探测存活主机,并探测主机中的网络共享资源,方便后续将勒索病毒等投放至目标主机,导致主机收到病毒侵害。基于受害者视角,若被该工具探测成功,域中各主机的位置以及基本信息(名称等)都会被黑客掌握,方便黑客将各主机定位,并实施下一步的攻击。 |
| 黑客工具 | DUBrute | DUBrute是一款强大的远程桌面(3389)密码破解软件。攻击者可使用软件自带的扫描功能对目标网段自动扫描活跃的IP地址,在扫描完成后,设置好用户名及爆破的密码字典,即可全自动工作。基于受害者视角,自己的主机将会被带有恶意的黑客进行远程连接操控,将主机的控制权交予他人之手,本主机及域中各主机都将面临被攻击的风险。 |
| 黑客工具 | NLBrute | NLBrute是一款强大的远程桌面(3389)密码破解软件。与DUBrute类似,攻击者在对目标远程桌面主机进行爆破时,会轮换使用不同的爆破工具进行攻击。基于受害者视角,与DUBrute类似,若爆破成功,宛如主机大门洞开,随后黑客进入主机进行敏感信息读取,并可能对文件与系统进行破坏。 |
| 黑客工具 | WebBrowserPassView | WebBrowserPassView是一款功能强大的网页密码查看工具。攻击者利用该工具会自动找出你在浏览器里面保存过的的帐号和对应的密码并显示出来,只要启动它,经过几秒钟之后,就会看到画面上出现你的浏览器所记忆的网址、帐号及密码。目前一共支持了IE4-IE11、Firefox、Chrome及Opera等四种主流浏览器。基于受害者角度,自己保存在浏览器中的用户名及密码都会被黑客掌握,账号中的资产等同于黑客所有。 |
| 黑客工具 | PortScan | PortScan一款端口扫描工具。与KPortScan类似,属于内网扫描工具,利用该工具发现内网中潜在的攻击目标,针对主机端口存活情况进行扫描,便于后续爆破、连接等操作。黑客在扫描时,会轮换不同的扫描工具进行扫描,以达到互补的目的。 |
| 黑客工具 | Lazykatz | Lazykatz是一款强大的内网渗透工具,是Mimikatz的升级版本,可以逃避杀毒软件的检测并加强绕过。 |
| 黑客工具 | PowerTool | PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,可在PE系统下清除感染MBR的病毒。攻击者可使用该工具对目标主机进行破坏,强制结束保护进程,强制占用文件进程,导致文件无法正常使用。可强制对注册表关键键值进行删除,使正常功能受阻,为攻击者执行病毒等攻击做好铺垫。基于受害者视角,若该工具对本机或服务器攻击成功,可能将会被强制结束主机中的防御软件,导致主机完全丧失防御能力,无法防御勒索病毒、木马等危害,致使文件被加密、关键信息被锁死等严重后果。 |
| 黑客工具 | Masscan | Masscan最初被设计为尽可能快的扫描整个互联网,其扫描速度的优越性被黑客所利用。攻击者可利用该工具对指定网段进行快速扫描,针对主机存活情况以及主机端口开放情况进行检测,便于后续的爆破与连接操作。 |
| 黑客工具 | DefenderControl | Defender Control是一款实用的Windows Defender控制工具,这款工具的主要作用就是可以对Windows Defender进行开启和关闭操作。攻击者可利用该软件对Windows Defender进行关闭,以躲避该防御程序的查杀。基于受害者视角,Windows Defender是Windows最基本的防御,若该防御被黑客关闭,且除此之外没有任何防御软件,主机相当于赤裸裸的展现在黑客面前,黑客的任意攻击都将生效,无法防御。 |
| 黑客工具 | Gmer | Gmer是一款多功能安全监控分析应用软件。它能查看隐藏的进程服务,驱动, 还能检查Rootkit,启动项,并且具有内置命令行和注册表编辑器 ,Gmer具有强大监控功能。Gmer还具备自己的系统安全模式,清理顽固木马病毒得心应手。黑客利用该工具可查看受害者主机的重要敏感信息、监视保护进程等手段,使得勒索病毒更加隐蔽。基于受害者视角,Gmer工具可强制结束安全软件以及防御进程,使主机完全丧失防御能力,轻易被黑客入侵,使勒索木马、病毒等轻松破坏主机系统。 |
| 运维工具 | 向日葵 | 向日葵(oray)是一款优秀的远程桌面控制软件。其具有环境搭建简单、日志保存清楚等优点,也常被黑客作为远程管理软件。基于受害者视角,若该远控软件存在某一高危漏洞,使攻击者不需获取信任码等,通过该漏洞直接进行远程连接,造成被入侵的后果。若管理员不慎将机器码与信任码泄露出去,也将被黑客进行信息收集,随后对该主机进行远控,造成不良后果。 |
| 运维工具 | ToDesk | ToDesk是一款优秀的远程桌面管理软件。攻击者可使用该软件对受害者主机进行远程操控,较为方便。基于受害者视角,若该远控软件存在某一高危漏洞,使攻击者不需获取信任码等,通过该漏洞直接进行远程连接,造成被入侵的后果。若管理员不慎将机器码与信任码泄露出去,也将被黑客进行信息收集,随后对该主机进行远控,造成不良后果。 |
| 运维工具 | AnyDesk | AnyDesk是一款免费的远程桌面控制软件。攻击者有时会图方便,在受害者主机中留下一个远程管理软件,方便攻击者登录与控制主机。基于受害者视角,若该远控软件存在某一高危漏洞,使攻击者不需获取信任码等,通过该漏洞直接进行远程连接,造成被入侵的后果。若管理员不慎将机器码与信任码泄露出去,也将被黑客进行信息收集,随后对该主机进行远控,造成不良后果。 |
| 运维工具 | Rdp_Connector | Rdp_Connector是一款RDP连接工具。RDP(远程连接管理)弱密码作为一个很严重的问题,经常会被利用。 而这款工具能够便捷的对该服务进行爆破。黑客常用该工具以及密码字典对目标主机进行RDP爆破,以获取远程管理权限。基于受害者视角,若爆破成功,被攻击者获取远程桌面的用户及密码,黑客便可使用这一个防御缺口,进入本机进行破坏,可能会上传其他黑客工具等,破坏服务器安全,造成资产损失。 |
| 运维工具 | TeamViewer | TeamViewer是一款设备涵盖面非常广的远程管理工具。黑客可通过各种设备对远程主机进行连接,方便控制主机。基于受害者视角,若该远控软件存在某一高危漏洞,使攻击者不需获取信任码等,通过该漏洞直接进行远程连接,造成被入侵的后果。若管理员不慎将机器码与信任码泄露出去,也将被黑客进行信息收集,随后对该主机进行远控,造成不良后果。 |
场景一:安全运营人员在服务器192.168.81.98安装向日葵用于远程运营,黑客在入侵该服务器之后利用该工具的远程连接功能,建立入侵立足点。通过事前持续检测现网资产的高危运维工具,避免黑客利用这些工具实施进一步的破坏行动,XDR通过风险应用全面检测到资产上是否安装风险应用,进一步降低资产风险。
建议使用Chrome浏览器访问!