您的任務(wù)就是在產(chǎn)品公開(kāi)發(fā)布之前嚴(yán)守相關(guān)秘密。但遺憾的是，您想要給公眾的這一驚喜即將毀于一旦。即使我們竭盡所能去防止包括偶然外泄和內(nèi)部泄漏在內(nèi)的一系列情況，但這種意外還是時(shí)有發(fā)生�？梢哉f(shuō)最壞的情況是：您的公司系統(tǒng)被入侵，與這款新產(chǎn)品相關(guān)的信息資料被盜取。

　　遇到這種情況確實(shí)倒霉，但類似這樣的數(shù)據(jù)泄漏事件其實(shí)并不罕見(jiàn)，對(duì)安全專業(yè)人員來(lái)說(shuō)更是司空見(jiàn)慣。雖然它們波及的部門不止一個(gè)，但是盜取數(shù)據(jù)的方式通常包括一些常見(jiàn)的方法。潛在的嫌疑人有很多，但是要弄清他們的動(dòng)機(jī)卻很難。然而在這場(chǎng)  “ 追尋線索 ” 的網(wǎng)絡(luò)安全游戲中，我們真正想要了解的并不是惡意攻擊者到底是誰(shuí)，而是它們使用了哪些武器，以及今后如何防止此類攻擊事件再次上演。

　　網(wǎng)絡(luò)惡意攻擊者的 “ 軍火庫(kù) ” 里有各式各樣強(qiáng)大的武器。下載程序、管理工具和間諜軟件通常都會(huì)被用于發(fā)動(dòng)此類攻擊。但是在當(dāng)下許多攻擊場(chǎng)景中，最常用的工具卻是遠(yuǎn)程訪問(wèn)木馬，我們通常將它們稱之為 “ RAT ” 。

　　RAT 是一種如 “ 瑞士軍刀 ” 般的武器。許多 RAT 病毒不僅通過(guò)許多常見(jiàn)的載體（ 如惡意下載文件和電子郵件附件 ）進(jìn)行傳播，還會(huì)用到前面提到的所有武器，甚至更多，從而方便惡意攻擊者在發(fā)動(dòng)攻擊時(shí)對(duì)每一個(gè)組件都加以利用。簡(jiǎn)言之，RAT 其實(shí)是把許多惡意工具整合到同一個(gè)工具包中。

　　RAT 與 RAT 之間也存在很多區(qū)別。有些 RAT 可謂全才，適用于多種攻擊場(chǎng)景，而有些則是為發(fā)動(dòng)特定攻擊而量身定制的；有些 RAT 會(huì)借助預(yù)先設(shè)定好的代理來(lái)掩蓋攻擊者的最終位置，有些可能會(huì)借用 C2（ 命令控制型 ）基礎(chǔ)設(shè)施達(dá)到同樣的目的。

　　盡管不同的 RAT 會(huì)通過(guò)不同的功能和基礎(chǔ)設(shè)施來(lái)發(fā)動(dòng)攻擊，但我們?cè)诜治鲈S多 RAT 后總結(jié)出幾個(gè)共同特征。為了闡明具體的攻擊過(guò)程，我們不妨再回到文章開(kāi)頭提到的科技公司新產(chǎn)品資料外泄事件，通過(guò)這個(gè)具體案例來(lái)說(shuō)明惡意攻擊者如何利用 RAT 訪問(wèn)并竊取有關(guān)新產(chǎn)品的敏感文件。

　　攻擊者通過(guò)一封包含 RAT 鏈接的網(wǎng)絡(luò)釣魚(yú)郵件成功突破了您公司的網(wǎng)絡(luò)防御機(jī)制。但這并不意味著它們會(huì)立即搞清楚自己在網(wǎng)絡(luò)中的具體位置。針對(duì)已遭其黑手的計(jì)算機(jī)，它們自然想了解更多，比如這是行政助理的臺(tái)式機(jī)，還是財(cái)務(wù)部的筆記本，或者就是一臺(tái) Web 服務(wù)器呢？攻擊者可通過(guò)全面的系統(tǒng)偵查了解自己在目標(biāo)企業(yè)中的滲透程度，比如是否還需要橫向移動(dòng)，或者是否已經(jīng)抵達(dá)既定目標(biāo)。有些網(wǎng)絡(luò)偵察工具甚至允許惡意攻擊者掃描其他系統(tǒng)，并收集相關(guān)信息。

　　攻擊者成功入侵了一臺(tái)設(shè)備，但這臺(tái)設(shè)備并非它的預(yù)期目標(biāo)。雖然他們破壞了工程部某位員工的一臺(tái)計(jì)算機(jī)，但它們想要盜取的資料卻保存在一臺(tái)共享服務(wù)器中。如果要橫向移動(dòng)，它們可能需要想辦法在它們已經(jīng)入侵的系統(tǒng)上搜索登錄憑據(jù)。許多 RAT 都具有抓取已保存和已緩存密碼的功能，所以一旦惡意攻擊者拿到用戶名和密碼，就會(huì)嘗試登錄共享服務(wù)器。

　　攻擊者掃描受損計(jì)算機(jī)以查找登錄憑據(jù)，但一無(wú)所獲。這算是個(gè)好消息嗎？是的，然而這只是攻擊者遇到的一個(gè)小小的挫折。許多 RAT 都包含諸如鍵盤(pán)監(jiān)聽(tīng)程序之類的信息竊取組件，也就是說(shuō)攻擊者只需要啟用這個(gè)組件，然后坐等已感染系統(tǒng)的用戶登錄共享服務(wù)器即可。用戶將登錄憑據(jù)輸入系統(tǒng)，攻擊者便隨之將其捕獲，之后便會(huì)自行嘗試登錄服務(wù)器。

　　攻擊者雖然能夠獲得登錄憑據(jù)；但它們的登陸嘗試還是以失敗告終。（ 或許您公司采用多因素身份驗(yàn)證機(jī)制？）為了能夠進(jìn)入到工程部的共享服務(wù)器，攻擊者將不得不請(qǐng)求增援。它們發(fā)現(xiàn)了共享服務(wù)器的一個(gè)漏洞，然后需要通過(guò)一套攻擊工具對(duì)這個(gè)漏洞加以利用，以獲取訪問(wèn)權(quán)限。鑒于不同網(wǎng)絡(luò)間存在的巨大差異，許多 RAT 都能通過(guò)下載更多工具來(lái)幫助自己獲得進(jìn)一步的訪問(wèn)權(quán)限。在這種情況下， RAT 在運(yùn)行時(shí)會(huì)模仿下載程序，即下載一套攻擊工具來(lái)幫助攻擊者繼續(xù)前進(jìn)。

　　假設(shè)攻擊者終于訪問(wèn)了共享服務(wù)器，遍歷了其目錄結(jié)構(gòu)，并找到了公司新產(chǎn)品功能的文檔資料。接下來(lái)它們就要盜取這些文件。大部分 RAT 都能將文件上傳到預(yù)先設(shè)定好的位置。這項(xiàng)工作通常需要代理協(xié)助或依托 C2 基礎(chǔ)設(shè)施才能完成，攻擊者在竊取相關(guān)文檔資料時(shí)的蹤跡也因此可被覆蓋。

　　有時(shí)候，惡意攻擊者可能并不滿足止步于竊取設(shè)計(jì)文檔。它們可能拿到了一組幻燈片，但其中幾頁(yè)缺少上下文。為了獲得更多資料，它們會(huì)將目光轉(zhuǎn)回最早攻擊的那臺(tái)計(jì)算機(jī)，然后通過(guò) RAT 錄制音頻和/或視頻資料。RAT 可能會(huì)偷聽(tīng)工程師與同事的對(duì)話，也可能會(huì)把旨在探討新產(chǎn)品的演示會(huì)議過(guò)程錄成一段視頻。RAT 也經(jīng)常通過(guò)截取屏幕圖像的方式來(lái)捕獲屏幕上正在顯示的重要文檔。

　　這只是 RAT 貫穿攻擊過(guò)程始終的一種場(chǎng)景。其實(shí)它也被用于其他很多情境。舉個(gè)例子，如果攻擊者要竊取財(cái)務(wù)數(shù)據(jù)，就可利用 RAT 從某臺(tái)計(jì)算機(jī)中盜取銀行信息，或通過(guò)鍵盤(pán)監(jiān)聽(tīng)程序收集信用卡號(hào)碼。

　　這里需要強(qiáng)調(diào)一點(diǎn)，那就是大多數(shù) RAT 病毒都能通過(guò)命令行訪問(wèn)已遭入侵的系統(tǒng)。如果惡意攻擊者對(duì)這類計(jì)算機(jī)獲得了足夠的管理權(quán)限，就可將 RAT 用作武器為所欲為。

　　雖然這一次攻擊者成功入侵了您公司的網(wǎng)絡(luò)并拿到產(chǎn)品計(jì)劃。您該如何防止它們重蹈覆轍？

　　幸運(yùn)的是， RAT 進(jìn)入系統(tǒng)的方式并沒(méi)有什么特別之處。它們?cè)谙到y(tǒng)內(nèi)的散布方式與其他類型的惡意軟件大致相同：通過(guò)電子郵件發(fā)送，由丟棄程序刪除，并與其他幾種常見(jiàn)的攻擊載體一同被設(shè)置為漏洞攻擊工具的有效載荷。我們建議您應(yīng)考慮以下幾點(diǎn)：

　　掃描二維碼 免費(fèi)試用思科郵件安全方案