您的任務(wù)就是在產(chǎn)品公開(kāi)發(fā)布之前嚴守相關(guān)秘密。但遺憾的是，您想要給公眾的這一驚喜即將毀于一旦。即使我們竭盡所能去防止包括偶然外泄和內部泄漏在內的一系列情況，但這種意外還是時(shí)有發(fā)生。可以說(shuō)最壞的情況是：您的公司系統被入侵，與這款新產(chǎn)品相關(guān)的信息資料被盜取。

　　遇到這種情況確實(shí)倒霉，但類(lèi)似這樣的數據泄漏事件其實(shí)并不罕見(jiàn)，對安全專(zhuān)業(yè)人員來(lái)說(shuō)更是司空見(jiàn)慣。雖然它們波及的部門(mén)不止一個(gè)，但是盜取數據的方式通常包括一些常見(jiàn)的方法。潛在的嫌疑人有很多，但是要弄清他們的動(dòng)機卻很難。然而在這場(chǎng)  “ 追尋線(xiàn)索 ” 的網(wǎng)絡(luò )安全游戲中，我們真正想要了解的并不是惡意攻擊者到底是誰(shuí)，而是它們使用了哪些武器，以及今后如何防止此類(lèi)攻擊事件再次上演。

　　網(wǎng)絡(luò )惡意攻擊者的 “ 軍火庫 ” 里有各式各樣強大的武器。下載程序、管理工具和間諜軟件通常都會(huì )被用于發(fā)動(dòng)此類(lèi)攻擊。但是在當下許多攻擊場(chǎng)景中，最常用的工具卻是遠程訪(fǎng)問(wèn)木馬，我們通常將它們稱(chēng)之為 “ RAT ” 。

　　RAT 是一種如 “ 瑞士軍刀 ” 般的武器。許多 RAT 病毒不僅通過(guò)許多常見(jiàn)的載體（ 如惡意下載文件和電子郵件附件 ）進(jìn)行傳播，還會(huì )用到前面提到的所有武器，甚至更多，從而方便惡意攻擊者在發(fā)動(dòng)攻擊時(shí)對每一個(gè)組件都加以利用。簡(jiǎn)言之，RAT 其實(shí)是把許多惡意工具整合到同一個(gè)工具包中。

　　RAT 與 RAT 之間也存在很多區別。有些 RAT 可謂全才，適用于多種攻擊場(chǎng)景，而有些則是為發(fā)動(dòng)特定攻擊而量身定制的；有些 RAT 會(huì )借助預先設定好的代理來(lái)掩蓋攻擊者的最終位置，有些可能會(huì )借用 C2（ 命令控制型 ）基礎設施達到同樣的目的。

　　盡管不同的 RAT 會(huì )通過(guò)不同的功能和基礎設施來(lái)發(fā)動(dòng)攻擊，但我們在分析許多 RAT 后總結出幾個(gè)共同特征。為了闡明具體的攻擊過(guò)程，我們不妨再回到文章開(kāi)頭提到的科技公司新產(chǎn)品資料外泄事件，通過(guò)這個(gè)具體案例來(lái)說(shuō)明惡意攻擊者如何利用 RAT 訪(fǎng)問(wèn)并竊取有關(guān)新產(chǎn)品的敏感文件。

　　攻擊者通過(guò)一封包含 RAT 鏈接的網(wǎng)絡(luò )釣魚(yú)郵件成功突破了您公司的網(wǎng)絡(luò )防御機制。但這并不意味著(zhù)它們會(huì )立即搞清楚自己在網(wǎng)絡(luò )中的具體位置。針對已遭其黑手的計算機，它們自然想了解更多，比如這是行政助理的臺式機，還是財務(wù)部的筆記本，或者就是一臺 Web 服務(wù)器呢？攻擊者可通過(guò)全面的系統偵查了解自己在目標企業(yè)中的滲透程度，比如是否還需要橫向移動(dòng)，或者是否已經(jīng)抵達既定目標。有些網(wǎng)絡(luò )偵察工具甚至允許惡意攻擊者掃描其他系統，并收集相關(guān)信息。

　　攻擊者成功入侵了一臺設備，但這臺設備并非它的預期目標。雖然他們破壞了工程部某位員工的一臺計算機，但它們想要盜取的資料卻保存在一臺共享服務(wù)器中。如果要橫向移動(dòng)，它們可能需要想辦法在它們已經(jīng)入侵的系統上搜索登錄憑據。許多 RAT 都具有抓取已保存和已緩存密碼的功能，所以一旦惡意攻擊者拿到用戶(hù)名和密碼，就會(huì )嘗試登錄共享服務(wù)器。

　　攻擊者掃描受損計算機以查找登錄憑據，但一無(wú)所獲。這算是個(gè)好消息嗎？是的，然而這只是攻擊者遇到的一個(gè)小小的挫折。許多 RAT 都包含諸如鍵盤(pán)監聽(tīng)程序之類(lèi)的信息竊取組件，也就是說(shuō)攻擊者只需要啟用這個(gè)組件，然后坐等已感染系統的用戶(hù)登錄共享服務(wù)器即可。用戶(hù)將登錄憑據輸入系統，攻擊者便隨之將其捕獲，之后便會(huì )自行嘗試登錄服務(wù)器。

　　攻擊者雖然能夠獲得登錄憑據；但它們的登陸嘗試還是以失敗告終。（ 或許您公司采用多因素身份驗證機制？）為了能夠進(jìn)入到工程部的共享服務(wù)器，攻擊者將不得不請求增援。它們發(fā)現了共享服務(wù)器的一個(gè)漏洞，然后需要通過(guò)一套攻擊工具對這個(gè)漏洞加以利用，以獲取訪(fǎng)問(wèn)權限。鑒于不同網(wǎng)絡(luò )間存在的巨大差異，許多 RAT 都能通過(guò)下載更多工具來(lái)幫助自己獲得進(jìn)一步的訪(fǎng)問(wèn)權限。在這種情況下， RAT 在運行時(shí)會(huì )模仿下載程序，即下載一套攻擊工具來(lái)幫助攻擊者繼續前進(jìn)。

　　假設攻擊者終于訪(fǎng)問(wèn)了共享服務(wù)器，遍歷了其目錄結構，并找到了公司新產(chǎn)品功能的文檔資料。接下來(lái)它們就要盜取這些文件。大部分 RAT 都能將文件上傳到預先設定好的位置。這項工作通常需要代理協(xié)助或依托 C2 基礎設施才能完成，攻擊者在竊取相關(guān)文檔資料時(shí)的蹤跡也因此可被覆蓋。

　　有時(shí)候，惡意攻擊者可能并不滿(mǎn)足止步于竊取設計文檔。它們可能拿到了一組幻燈片，但其中幾頁(yè)缺少上下文。為了獲得更多資料，它們會(huì )將目光轉回最早攻擊的那臺計算機，然后通過(guò) RAT 錄制音頻和/或視頻資料。RAT 可能會(huì )偷聽(tīng)工程師與同事的對話(huà)，也可能會(huì )把旨在探討新產(chǎn)品的演示會(huì )議過(guò)程錄成一段視頻。RAT 也經(jīng)常通過(guò)截取屏幕圖像的方式來(lái)捕獲屏幕上正在顯示的重要文檔。

　　這只是 RAT 貫穿攻擊過(guò)程始終的一種場(chǎng)景。其實(shí)它也被用于其他很多情境。舉個(gè)例子，如果攻擊者要竊取財務(wù)數據，就可利用 RAT 從某臺計算機中盜取銀行信息，或通過(guò)鍵盤(pán)監聽(tīng)程序收集信用卡號碼。

　　這里需要強調一點(diǎn)，那就是大多數 RAT 病毒都能通過(guò)命令行訪(fǎng)問(wèn)已遭入侵的系統。如果惡意攻擊者對這類(lèi)計算機獲得了足夠的管理權限，就可將 RAT 用作武器為所欲為。

　　雖然這一次攻擊者成功入侵了您公司的網(wǎng)絡(luò )并拿到產(chǎn)品計劃。您該如何防止它們重蹈覆轍？

　　幸運的是， RAT 進(jìn)入系統的方式并沒(méi)有什么特別之處。它們在系統內的散布方式與其他類(lèi)型的惡意軟件大致相同：通過(guò)電子郵件發(fā)送，由丟棄程序刪除，并與其他幾種常見(jiàn)的攻擊載體一同被設置為漏洞攻擊工具的有效載荷。我們建議您應考慮以下幾點(diǎn)：

　　掃描二維碼 免費試用思科郵件安全方案