网络攻击者的 “ 军火库 ” 揭秘远程访问木马

如果您就职的一家知名科技公司即将面向公众发布一款足以颠覆整个市场的产品。这个领域的竞争非常激烈,公司在国内国外都有一大堆竞争对手。媒体和网络上也出现了有关这款新产品的大量猜测。毫无疑问,关于这款即将问世的革命性产品,客户们都渴望了解更多信息。

您的任务就是在产品公开发布之前严守相关秘密。但遗憾的是,您想要给公众的这一惊喜即将毁于一旦。即使我们竭尽所能去防止包括偶然外泄和内部泄漏在内的一系列情况,但这种意外还是时有发生。可以说最坏的情况是:您的公司系统被入侵,与这款新产品相关的信息资料被盗取。

遇到这种情况确实倒霉,但类似这样的数据泄漏事件其实并不罕见,对安全专业人员来说更是司空见惯。虽然它们波及的部门不止一个,但是盗取数据的方式通常包括一些常见的方法。潜在的嫌疑人有很多,但是要弄清他们的动机却很难。然而在这场 “ 追寻线索 ” 的网络安全游戏中,我们真正想要了解的并不是恶意攻击者到底是谁,而是它们使用了哪些武器,以及今后如何防止此类攻击事件再次上演。

网络恶意攻击者的 “ 军火库 ” 里有各式各样强大的武器。下载程序、管理工具和间谍软件通常都会被用于发动此类攻击。但是在当下许多攻击场景中,最常用的工具却是远程访问木马,我们通常将它们称之为 “ RAT ” 。

RAT 是一种如 “ 瑞士军刀 ” 般的武器。许多 RAT 病毒不仅通过许多常见的载体( 如恶意下载文件和电子邮件附件 )进行传播,还会用到前面提到的所有武器,甚至更多,从而方便恶意攻击者在发动攻击时对每一个组件都加以利用。简言之,RAT 其实是把许多恶意工具整合到同一个工具包中。

RAT 与 RAT 之间也存在很多区别。有些 RAT 可谓全才,适用于多种攻击场景,而有些则是为发动特定攻击而量身定制的;有些 RAT 会借助预先设定好的代理来掩盖攻击者的最终位置,有些可能会借用 C2( 命令控制型 )基础设施达到同样的目的。

尽管不同的 RAT 会通过不同的功能和基础设施来发动攻击,但我们在分析许多 RAT 后总结出几个共同特征。为了阐明具体的攻击过程,我们不妨再回到文章开头提到的科技公司新产品资料外泄事件,通过这个具体案例来说明恶意攻击者如何利用 RAT 访问并窃取有关新产品的敏感文件。

攻击者通过一封包含 RAT 链接的网络钓鱼邮件成功突破了您公司的网络防御机制。但这并不意味着它们会立即搞清楚自己在网络中的具体位置。针对已遭其黑手的计算机,它们自然想了解更多,比如这是行政助理的台式机,还是财务部的笔记本,或者就是一台 Web 服务器呢?攻击者可通过全面的系统侦查了解自己在目标企业中的渗透程度,比如是否还需要横向移动,或者是否已经抵达既定目标。有些网络侦察工具甚至允许恶意攻击者扫描其他系统,并收集相关信息。

攻击者成功入侵了一台设备,但这台设备并非它的预期目标。虽然他们破坏了工程部某位员工的一台计算机,但它们想要盗取的资料却保存在一台共享服务器中。如果要横向移动,它们可能需要想办法在它们已经入侵的系统上搜索登录凭据。许多 RAT 都具有抓取已保存和已缓存密码的功能,所以一旦恶意攻击者拿到用户名和密码,就会尝试登录共享服务器。

攻击者扫描受损计算机以查找登录凭据,但一无所获。这算是个好消息吗?是的,然而这只是攻击者遇到的一个小小的挫折。许多 RAT 都包含诸如键盘监听程序之类的信息窃取组件,也就是说攻击者只需要启用这个组件,然后坐等已感染系统的用户登录共享服务器即可。用户将登录凭据输入系统,攻击者便随之将其捕获,之后便会自行尝试登录服务器。

攻击者虽然能够获得登录凭据;但它们的登陆尝试还是以失败告终。( 或许您公司采用多因素身份验证机制?)为了能够进入到工程部的共享服务器,攻击者将不得不请求增援。它们发现了共享服务器的一个漏洞,然后需要通过一套攻击工具对这个漏洞加以利用,以获取访问权限。鉴于不同网络间存在的巨大差异,许多 RAT 都能通过下载更多工具来帮助自己获得进一步的访问权限。在这种情况下, RAT 在运行时会模仿下载程序,即下载一套攻击工具来帮助攻击者继续前进。

假设攻击者终于访问了共享服务器,遍历了其目录结构,并找到了公司新产品功能的文档资料。接下来它们就要盗取这些文件。大部分 RAT 都能将文件上传到预先设定好的位置。这项工作通常需要代理协助或依托 C2 基础设施才能完成,攻击者在窃取相关文档资料时的踪迹也因此可被覆盖。

有时候,恶意攻击者可能并不满足止步于窃取设计文档。它们可能拿到了一组幻灯片,但其中几页缺少上下文。为了获得更多资料,它们会将目光转回最早攻击的那台计算机,然后通过 RAT 录制音频和/或视频资料。RAT 可能会偷听工程师与同事的对话,也可能会把旨在探讨新产品的演示会议过程录成一段视频。RAT 也经常通过截取屏幕图像的方式来捕获屏幕上正在显示的重要文档。

这只是 RAT 贯穿攻击过程始终的一种场景。其实它也被用于其他很多情境。举个例子,如果攻击者要窃取财务数据,就可利用 RAT 从某台计算机中盗取银行信息,或通过键盘监听程序收集信用卡号码。

这里需要强调一点,那就是大多数 RAT 病毒都能通过命令行访问已遭入侵的系统。如果恶意攻击者对这类计算机获得了足够的管理权限,就可将 RAT 用作武器为所欲为。

虽然这一次攻击者成功入侵了您公司的网络并拿到产品计划。您该如何防止它们重蹈覆辙?

幸运的是, RAT 进入系统的方式并没有什么特别之处。它们在系统内的散布方式与其他类型的恶意软件大致相同:通过电子邮件发送,由丢弃程序删除,并与其他几种常见的攻击载体一同被设置为漏洞攻击工具的有效载荷。我们建议您应考虑以下几点:

一款良好的端点保护应用程序能够非常有效地抵御 RAT 攻击。比如面向终端的思科 AMP( AMP for Endpoints ),它会在入口点阻止恶意软件,然后针对各种高级威胁采取检测、遏制和修复等一系列措施。

另一项重要功能即监控未授权活动的网络流量。依托来自企业现有网络基础设施的遥测数据,思科推出了综合全面的网络可视性及流量安全分析解决方案- Stealthwatch 。

许多 RAT 都会对其流量进行加密处理,因此请确保您的系统也能够监控此类流量。思科加密流量分析软件融合网络分析和机器学习技术,无需解密即可洞悉隐藏在加密流量中的各种威胁。

成功访问 C2 域名是许多 RAT 正常运行的关键,因此阻止已知的恶意域名对于切断 RAT 的攻击过程大有帮助。思科 Umbrella 通过 DNS 来阻断所有面向端口、协议、甚至 IP 直连接口发起的威胁,从而防止系统连接恶意攻击者的服务器。

多因素身份验证( MFA )系列产品可防止恶意攻击者在掌握用户登录凭证后登录系统。您还可通过像思科 Duo 这样的解决方案帮助您完成用户身份验证。

如果 RAT 已经进入系统并试着窃取敏感信息,那么具有数据防泄漏( DLP )功能的 Web 安全设备将派得上用场。对于传输中的数据来说,思科与 Digital Guardian 共同开发的 DLP 解决方案绝对算得上一套高性能的综合安全解决方案。

一套出色的邮件安全解决方案,再加上功能稳固的网络边界,能为全面彻底阻挡 RAT 攻击提供非凡助力。思科电子邮件安全解决方案和思科下一代防火墙分别针对电子邮件攻击和网络边界攻击提供了最佳防御屏障。

上一篇:企业知识库的工具条、输入法 ,Chatopera聊天机器人平台小助手!