中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

網(wǎng)絡(luò)攻擊者的 “ 軍火庫 ” | 揭秘遠程訪問木馬

2020-09-15 09:30:41   作者:   來源:CTI論壇   評論:0  點擊:


  如果您就職的一家知名科技公司即將面向公眾發(fā)布一款足以顛覆整個市場的產(chǎn)品。這個領(lǐng)域的競爭非常激烈,公司在國內(nèi)國外都有一大堆競爭對手。媒體和網(wǎng)絡(luò)上也出現(xiàn)了有關(guān)這款新產(chǎn)品的大量猜測。毫無疑問,關(guān)于這款即將問世的革命性產(chǎn)品,客戶們都渴望了解更多信息。
  您的任務就是在產(chǎn)品公開發(fā)布之前嚴守相關(guān)秘密。但遺憾的是,您想要給公眾的這一驚喜即將毀于一旦。即使我們竭盡所能去防止包括偶然外泄和內(nèi)部泄漏在內(nèi)的一系列情況,但這種意外還是時有發(fā)生。可以說最壞的情況是:您的公司系統(tǒng)被入侵,與這款新產(chǎn)品相關(guān)的信息資料被盜取。
  遇到這種情況確實倒霉,但類似這樣的數(shù)據(jù)泄漏事件其實并不罕見,對安全專業(yè)人員來說更是司空見慣。雖然它們波及的部門不止一個,但是盜取數(shù)據(jù)的方式通常包括一些常見的方法。潛在的嫌疑人有很多,但是要弄清他們的動機卻很難。然而在這場  “ 追尋線索 ” 的網(wǎng)絡(luò)安全游戲中,我們真正想要了解的并不是惡意攻擊者到底是誰,而是它們使用了哪些武器,以及今后如何防止此類攻擊事件再次上演。
  網(wǎng)絡(luò)惡意攻擊者的 “ 軍火庫 ” 里有各式各樣強大的武器。下載程序、管理工具和間諜軟件通常都會被用于發(fā)動此類攻擊。但是在當下許多攻擊場景中,最常用的工具卻是遠程訪問木馬,我們通常將它們稱之為 “ RAT ” 。
  什么是 RAT
  RAT 是一種如 “ 瑞士軍刀 ” 般的武器。許多 RAT 病毒不僅通過許多常見的載體( 如惡意下載文件和電子郵件附件 )進行傳播,還會用到前面提到的所有武器,甚至更多,從而方便惡意攻擊者在發(fā)動攻擊時對每一個組件都加以利用。簡言之,RAT 其實是把許多惡意工具整合到同一個工具包中。
  RAT 與 RAT 之間也存在很多區(qū)別。有些 RAT 可謂全才,適用于多種攻擊場景,而有些則是為發(fā)動特定攻擊而量身定制的;有些 RAT 會借助預先設(shè)定好的代理來掩蓋攻擊者的最終位置,有些可能會借用 C2( 命令控制型 )基礎(chǔ)設(shè)施達到同樣的目的。
  盡管不同的 RAT 會通過不同的功能和基礎(chǔ)設(shè)施來發(fā)動攻擊,但我們在分析許多 RAT 后總結(jié)出幾個共同特征。為了闡明具體的攻擊過程,我們不妨再回到文章開頭提到的科技公司新產(chǎn)品資料外泄事件,通過這個具體案例來說明惡意攻擊者如何利用 RAT 訪問并竊取有關(guān)新產(chǎn)品的敏感文件。
  收集系統(tǒng)信息
  攻擊者通過一封包含 RAT 鏈接的網(wǎng)絡(luò)釣魚郵件成功突破了您公司的網(wǎng)絡(luò)防御機制。但這并不意味著它們會立即搞清楚自己在網(wǎng)絡(luò)中的具體位置。針對已遭其黑手的計算機,它們自然想了解更多,比如這是行政助理的臺式機,還是財務部的筆記本,或者就是一臺 Web 服務器呢?攻擊者可通過全面的系統(tǒng)偵查了解自己在目標企業(yè)中的滲透程度,比如是否還需要橫向移動,或者是否已經(jīng)抵達既定目標。有些網(wǎng)絡(luò)偵察工具甚至允許惡意攻擊者掃描其他系統(tǒng),并收集相關(guān)信息。
  盜取用戶名和密碼
  攻擊者成功入侵了一臺設(shè)備,但這臺設(shè)備并非它的預期目標。雖然他們破壞了工程部某位員工的一臺計算機,但它們想要盜取的資料卻保存在一臺共享服務器中。如果要橫向移動,它們可能需要想辦法在它們已經(jīng)入侵的系統(tǒng)上搜索登錄憑據(jù)。許多 RAT 都具有抓取已保存和已緩存密碼的功能,所以一旦惡意攻擊者拿到用戶名和密碼,就會嘗試登錄共享服務器。
  記錄按鍵
  攻擊者掃描受損計算機以查找登錄憑據(jù),但一無所獲。這算是個好消息嗎?是的,然而這只是攻擊者遇到的一個小小的挫折。許多 RAT 都包含諸如鍵盤監(jiān)聽程序之類的信息竊取組件,也就是說攻擊者只需要啟用這個組件,然后坐等已感染系統(tǒng)的用戶登錄共享服務器即可。用戶將登錄憑據(jù)輸入系統(tǒng),攻擊者便隨之將其捕獲,之后便會自行嘗試登錄服務器。
  下載更多惡意程序
  攻擊者雖然能夠獲得登錄憑據(jù);但它們的登陸嘗試還是以失敗告終。( 或許您公司采用多因素身份驗證機制?)為了能夠進入到工程部的共享服務器,攻擊者將不得不請求增援。它們發(fā)現(xiàn)了共享服務器的一個漏洞,然后需要通過一套攻擊工具對這個漏洞加以利用,以獲取訪問權(quán)限。鑒于不同網(wǎng)絡(luò)間存在的巨大差異,許多 RAT 都能通過下載更多工具來幫助自己獲得進一步的訪問權(quán)限。在這種情況下, RAT 在運行時會模仿下載程序,即下載一套攻擊工具來幫助攻擊者繼續(xù)前進。
  訪問并上傳文件
  假設(shè)攻擊者終于訪問了共享服務器,遍歷了其目錄結(jié)構(gòu),并找到了公司新產(chǎn)品功能的文檔資料。接下來它們就要盜取這些文件。大部分 RAT 都能將文件上傳到預先設(shè)定好的位置。這項工作通常需要代理協(xié)助或依托 C2 基礎(chǔ)設(shè)施才能完成,攻擊者在竊取相關(guān)文檔資料時的蹤跡也因此可被覆蓋。
  錄制音視頻及截屏
  有時候,惡意攻擊者可能并不滿足止步于竊取設(shè)計文檔。它們可能拿到了一組幻燈片,但其中幾頁缺少上下文。為了獲得更多資料,它們會將目光轉(zhuǎn)回最早攻擊的那臺計算機,然后通過 RAT 錄制音頻和/或視頻資料。RAT 可能會偷聽工程師與同事的對話,也可能會把旨在探討新產(chǎn)品的演示會議過程錄成一段視頻。RAT 也經(jīng)常通過截取屏幕圖像的方式來捕獲屏幕上正在顯示的重要文檔。
  其他應用場景
  這只是 RAT 貫穿攻擊過程始終的一種場景。其實它也被用于其他很多情境。舉個例子,如果攻擊者要竊取財務數(shù)據(jù),就可利用 RAT 從某臺計算機中盜取銀行信息,或通過鍵盤監(jiān)聽程序收集信用卡號碼。
  這里需要強調(diào)一點,那就是大多數(shù) RAT 病毒都能通過命令行訪問已遭入侵的系統(tǒng)。如果惡意攻擊者對這類計算機獲得了足夠的管理權(quán)限,就可將 RAT 用作武器為所欲為。
  如何抓住 “ 老鼠 ”
  雖然這一次攻擊者成功入侵了您公司的網(wǎng)絡(luò)并拿到產(chǎn)品計劃。您該如何防止它們重蹈覆轍?
  幸運的是, RAT 進入系統(tǒng)的方式并沒有什么特別之處。它們在系統(tǒng)內(nèi)的散布方式與其他類型的惡意軟件大致相同:通過電子郵件發(fā)送,由丟棄程序刪除,并與其他幾種常見的攻擊載體一同被設(shè)置為漏洞攻擊工具的有效載荷。我們建議您應考慮以下幾點:
  • 一款良好的端點保護應用程序能夠非常有效地抵御 RAT 攻擊。比如面向終端的思科 AMP( AMP for Endpoints ),它會在入口點阻止惡意軟件,然后針對各種高級威脅采取檢測、遏制和修復等一系列措施。
  • 另一項重要功能即監(jiān)控未授權(quán)活動的網(wǎng)絡(luò)流量。依托來自企業(yè)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遙測數(shù)據(jù),思科推出了綜合全面的網(wǎng)絡(luò)可視性及流量安全分析解決方案- Stealthwatch 。
  • 許多 RAT 都會對其流量進行加密處理,因此請確保您的系統(tǒng)也能夠監(jiān)控此類流量。思科加密流量分析軟件融合網(wǎng)絡(luò)分析和機器學習技術(shù),無需解密即可洞悉隱藏在加密流量中的各種威脅。
  • 成功訪問 C2 域名是許多 RAT 正常運行的關(guān)鍵,因此阻止已知的惡意域名對于切斷 RAT 的攻擊過程大有幫助。思科 Umbrella 通過 DNS 來阻斷所有面向端口、協(xié)議、甚至 IP 直連接口發(fā)起的威脅,從而防止系統(tǒng)連接惡意攻擊者的服務器。
  • 多因素身份驗證( MFA )系列產(chǎn)品可防止惡意攻擊者在掌握用戶登錄憑證后登錄系統(tǒng)。您還可通過像思科 Duo 這樣的解決方案幫助您完成用戶身份驗證。
  • 如果 RAT 已經(jīng)進入系統(tǒng)并試著竊取敏感信息,那么具有數(shù)據(jù)防泄漏( DLP )功能的 Web 安全設(shè)備將派得上用場。對于傳輸中的數(shù)據(jù)來說,思科與 Digital Guardian 共同開發(fā)的 DLP 解決方案絕對算得上一套高性能的綜合安全解決方案。
  • 一套出色的郵件安全解決方案,再加上功能穩(wěn)固的網(wǎng)絡(luò)邊界,能為全面徹底阻擋 RAT 攻擊提供非凡助力。思科電子郵件安全解決方案和思科下一代防火墻分別針對電子郵件攻擊和網(wǎng)絡(luò)邊界攻擊提供了最佳防御屏障。
     
  掃描二維碼 免費試用思科郵件安全方案
  相關(guān)閱讀
 
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)