站长之家首页 > 安全 > 网络黑客最新资讯 > 正文

给黑客30分钟,他能对你的办公电脑做什么

2018-08-02 09:07 · 稿源:雷锋网

QQ截图20180802091605.png

如果你是一名负责企业内网安全的人,下面这两段话可能会让你心中一紧~

对于一个职业黑客,在高级木马激活的状态下,他只要拿到一台PC,就完全有能力在 30 分钟内搞到这台 PC 服务器的账号和密码,还有PC上所存储的 IP 段和应用系统,接下来,他还可以基于 IPC 去做扫描和渗透排测,从而发现企业中的很多问题。

那如果再给黑客 60 分钟的时间呢?

他可以继续拿掉企业中更多带有漏洞的服务器,比如那些使用同一账号密码的服务器,当多台服务器都被他掌控于手掌中时,他就可以把更多的恶意样本传到这些服务器上,进行大规模攻击。

上面这两段话出自腾讯企业 IT 部安全运营中心的总监蔡晨之口。

▲蔡晨

作为腾讯企业内网安全的“大管家”,蔡晨每天一睁眼就要面临 10 万台 PC 和 18 万台移动端的“安保”任务,只要一台 PC 出问题,整个庞大的内网可能都会因此面临严峻的安全挑战。

近日,在第 10 届中国云计算大会的“云计算与大数据安全专题论坛”中,蔡晨分享了腾讯企业内网所面临的安全威胁和多年来他们所总结出的应对策略。

换句话说,这是一位拥有 13 年驾照的的老司机所传授的“爬坑指南”,他“如数家珍”地把平常会面临的以及踩过的坑展示出来,然后还分享了如何从坑中爬出的战斗经验。

经久不衰的钓鱼邮件

堡垒最容易从内部被攻破,蔡晨把针对企业内部员工的钓鱼邮件视为第一大威胁。

与广告邮件和垃圾邮件不同,钓鱼邮件往往是针对HR、财务、高管等高价值人员,这种经典的攻击手法之所以多年来经久不衰,原因有两点:

  • 黑客很容易搞到目标对象的邮箱,比如 HR 的邮箱即使对于普通人而言也很容易搜到;

  • 这种邮件可以依照目标对象的身份进行精准的投递,比如把带有木马的简历附件直接发到 HR 的邮箱中,把名为报销票据的附件发到财务人员的邮箱中,让对方更容易中招。

近年来,勒索病毒是钓鱼邮件的常见套路之一,据蔡晨介绍,早在 Wannacry 和 Petya 爆发之前的一年,一个名为 locky 的勒索病毒就曾尝试攻击过腾讯的内网。

黑客向受害者邮箱发送带有恶意 word 文档的邮件,word 文档中包含有黑客精心构造的恶意宏代码,受害者打开 word 文档并运行宏代码后,主机会主动连接指定的 web 服务器,下载 locky 恶意软件到本地 Temp 目录下,并强制执行。locky 恶意代码被加载执行后,主动连接黑客 C&C 服务器,执行上传本机信息,下载加密公钥。

那时,由于勒索病毒并不普及,出现第一波的时候,各家企业还没有做好防御的措施,导致不少企业中招。

当时在某宝上竟然还出现了公开出售 locky 解密密钥的商店,可想而知中招的企业其实并不在少数。

此外,黑客还可以通过钓鱼邮件植入比较高级的后门,一个名为“Adwind”的高级木马家族就曾持续对腾讯进行定点的钓鱼攻击,而且针对的都是高管、财务等重要岗位,它会根据目标对象的身份而发送不同的邮件,诱使相关人员进行点击。

雷锋网(公众号:雷锋网)发现,Adwind 以其很强的跨平台适应性而闻名,而且具有多种攻击功能,包括收集用户键盘输入内容、窃取缓存的密码、从网页表单中抓取数据、截屏、通过网络摄像头拍照和录制视频、通过麦克风录音、传输文件、收集系统和用户信息、窃取加密货币钱包密匙、管理手机短息以及窃取 VPN 证书。

据蔡晨介绍,这两种钓鱼方式其实并不只针对腾讯,但是作为国内体量最大的互联网公司之一,他们经常是最早一波受到攻击的企业之一,如果做不好防御措施,后果可想而知。

军工木马平民化

除钓鱼邮件的攻击外,近年来越来越盛行的军工类高级木马也成为重要威胁之一,而且近两年正在走向平民化,这就犹如越来越多的平民手中也有了能造成巨大杀伤力的核武器。

相比于平常所见到的挖矿、勒索、蠕虫类的广谱木马,军工级木马完美诠释了什么叫“人狠话不多”,不仅隐蔽性强,而且杀伤力巨大。

蔡晨介绍,近两年一些高价值的漏洞,甚至是一些从来没有被公开的漏洞正在互联网上进行开放,通过腾讯内网安全团队与腾讯电脑管家团队、以及安全平台部合作进行的研究,他们发现很多对企业边界穿透力非常强的DNS隧道木马。

比如,去年对整个行业影响比很大的 Xshell 供应链式木马。

2017 年 8 月,NetSarang 系列软件的关键网络通信组件 nssock2.dll 被植入了恶意代码,厂商在发布软件时并未发现恶意代码,并给感染组件打上了合法的数字签名随新版软件包一起发布。

用户机器一旦启动软件,将会加载组件中的恶意代码,将主机的用户信息通过特定 DGA (域名生成算法)产生的 DNS 域名传送至黑客的远程命令控制服务器,同时黑客的服务器会动态下发任意的恶意代码至用户机器执行。

这造成的后果是,一些开发人员以为他们只是从互联网上下载了一个普通的运维工具进行软件的开发,但一开始这个工具就是被植入过后门的,这个后门在通过 DNS 隧道进行启发激活后,能进行远端操控,这两年,这种植入方式是越来越普遍。

由于该系列软件在国内的程序员和运维开发人员中被广泛使用,多用于管理企事业单位的重要服务器资产,所以黑客极有可能进一步窃取用户所管理的服务器身份验证信息,秘密入侵相关机构窃取数据。

与普通的木马相比,军工级木马的启动方式、隐藏方式、抗检测能力都非常出众,而且功能很全,不仅可以绕过市面上绝大多数的杀软检测,而且对于内网的穿透力非常强。

发现、处置、溯源

对于攻击能力强,隐藏能力更强的黑客攻击来说,摆在安全研究人员面前的第一要事是先发现它。

 给黑客 30 分钟,他能对你的办公电脑做什么

蔡晨告诉雷锋网,如果跟黑客对抗,你都看不到它,那你相当于跟它不在一个维度上,它一定会打败你,所以安全数据的“高可见”一直是他们近年来努力的方向和目标。

安全数据的高可见有两个维度,一是数据够不够广,我们会把终端、内网的所有数据,包括所有的应用系统,还有帐号类的数据全部归结在一起,腾讯一天内网有 400 亿规模的数据,数据类型大概 200 多类,你只有把这些数据放到自己的眼皮底下,才会发现黑客到底动没动它。

还有一个维度就是数据的深度,比如,Adwind 木马家族所开发的木马是没有文件的,它会直接感染到内存中,如果防御监控还停留在文件级是看不到它的,这时候需要把终端的监控下沉到进程 API 的级别,看木马注入到哪个层面进行了 API 调用。

 给黑客 30 分钟,他能对你的办公电脑做什么

蔡晨介绍,这张图是腾讯企业内部安全人员第一时间能够看到的,包括终端、服务器、各类应用和出口的情况,这能告诉他们企业的网络中到底发生了怎样的安全事件。当然,这些都依赖于强大的后台去支撑大量的数据运算和机器学习,是由大量的规则检测模型得出的结果。

第二是遇到紧急的情况,或者是安全危机的情况下,一定要有极速处置的能力,第一时间把风险隔离掉。

当收集了大量的数据后,就要解决如何对企业安全人员形成可见效应的问题。这就像对一个厨师而言,精选的原料都备好之后,要进行加工才能实现食材的价值。

 给黑客 30 分钟,他能对你的办公电脑做什么

对于安全人员而言,要想第一时间发现安全事件,还要依赖于强大的后台去支撑大量的数据运算和机器学习,即对于海量的数据进行行为分析,通过大量的规则检测模型得出的结果。

根据分析的结果,他们会把安全事件分为高中低三个风险级别,安全人员可以有序地对这些事件进行风险的处置、隔离,或者是进一步排查,如果有必要,还要进行溯源工作。

安全如果设置了太多的门槛,会影响具体的业务进行吗?

对于这问题,蔡晨和团队采取了“云管云控”的战略。

所有互联网的员工都希望有一个轻量的客户端在终端保护。他们在腾讯员工终端部署的安全系统上做了两件事:一是数据的汇报,二是是云端接收和策略下发。

我们在云端分成两朵云,一朵云是用来处理基本的策略管理和加固类策略、软件管理策略。这些都是数据量比较轻的轻DATA,存放在公有云。

一朵云我们会把客户端汇报的数据进行深度的分析,大数据的分析,或者平台的一些时间窗的数据,这些数据量比较大,运算量比较大,这种胖DATA会放在私有云。

客户端是非常瘦的形态,云是非常胖的形态,用这种方式在云端保证用户的体验和安全分析决策的精准性。 

蔡晨告诉雷锋网,经过十几年的构建,他们已经做到了从 5 分钟的时间可以把所需要的数据采集到云端,在 15 分钟的时间内,云端就可以通过各种安全规则的分析,数据的挖掘和串联,把风险识别出来。安全人员在 30 分钟内就可以对这些风险进行处置或隔离清理。

前期的快速处置,也为他们在接下来的一两天内留出时间来追查黑客、病毒木马到底是怎么进来的,或者是信息是怎么泄露出去,以此再进行溯源工作,揪出幕后的黑手。 

  • 大家在看
  • 相关推荐
  • 网络安全问题频发?推荐使用快快网络高防服务器

    随着科技的快速发展和互联网的普及,企业在享受便捷的同时,也面临着网络带来的各种安全隐患。如何选择合适的服务器成为了企业面临的重要问题。市面上的服务器有高防服务器和普通服务器选择之分。不同的服务器类型,给用户带来的使用效果也是天差地别。接下来,小编来为大家介绍关于高防服务器比普通服务器更具备哪些优势。高防服务器所具备的优势:1、 防御攻击随着网络技术的发展,互联网上也出现了各类网络攻击,让服务器使用者

  • 安全大咖线上对话,支招企业复工做好网络安全防护

    疫情之下,企业复工复产过程中要针对安全防护做好什么准备?2 月 28 日,中国产业互联网发展联盟(IDAC)安全专业委员会指导、腾讯发起的“疫情影响下的企业网络安全建设研讨会”在线上举行,来自腾讯、中国信息通信研究院、北京神州绿盟信息安全科技股份有限公司、天融信科技集团和卫士通信息产业股份有限公司的安全专家,围绕疫情影响下的安全新技术、新场景、新局面与新挑战带来实践分享。疫情来袭,对于网络安全带来哪些挑战?新冠

  • 黑客使用新冠病毒追踪地图来偷偷植入恶意软件

    目前新冠病毒已经在全球扩散并引发各国人民的关注,黑客们也正利用这一机会窃取用户信息。据外媒报道,有些网站推出了新冠病毒追踪地图页面,帮助了解全球疫情发展情况。而有些黑客则开始克隆一些正规或者制作不同类似的页面,借机在用户电脑中植入恶意软件。

  • 外媒:有关新冠病毒网络攻击激增 世卫组织成黑客目标

    据路透社报道,本月早些时候,黑客试图入侵世界卫生组织。虽然没有成功入侵,但该机构表示,随着他们努力遏制新冠病毒,网络攻击增加了两倍多。

  • 统平网络呼吁:关注青少年上网安全,谨防网络诈骗

    近期,各地学校由于新冠疫情影响纷纷启动了网课模式,学生们有了更多上网机会,但也面临着风险。据了解,上海巨人统平网络科技有限公司曾发现,部分用户掉入钓鱼网站的圈套,将资金转入不法分子的银行账户,导致经济损失。对于缺乏社会经历和辨别能力的未成年人,他们更需要警惕网络诈骗与不良消费。巨人统平方面呼吁关注青少年上网行为,保护未成年人网络安全。根据日前一份网络调查显示,64.4%的受访家长表示孩子每天上网超过 3

  • 快快网络安全防护中心:布局云安全,构建有效安全闭环

    在云计算、大数据、物联网、人工智能、端云协同的大发展趋势下,基于网络构筑的万物互联技术进一步融合,网络环境变得越来越复杂,新老安全也在问题不断交织。一方面,网络病毒、漏洞入侵、内部泄露等传统网络安全威胁依然存在,另一方面,云环境网络规模化、数据信息海量化、存储服务集约化等特点,也给云平台架构和云业务发展带来新的安全挑战。频频发生的数据安全事故无时无刻不在提醒人们,传统的网络安全产品已难以满足云上用

  • 2 月头号恶意软件Mirai 僵尸网络,传播的漏洞利用率大幅增加

    CheckPointResearch还发现,Emotet一直在通过新的SMS网络钓鱼攻击活动进行传播。加利福尼亚州圣卡洛斯市– 2020 年 2 月XX日--全球领先网络安全解决方案提供商 CheckPoint? 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门CheckPointResearch发布了其 2020 年 2 月最新版《全球威胁指数》报告。2 月,针对Mirai僵尸网络传播的漏洞利用率大幅增加。该僵尸网络因感染物联网设备和进行大规模DDoS攻击而臭名昭著。这个被称为?

  • 快快网络安全防护中心——为您构建系统安全防护矩阵

    随着云计算和虚拟技术的发展,诸多企业将重要的业务资料和数据放置在云平台上。但如果没有做好云安全防护,就会很容易受到网络攻击,从而影响业务的连续性、稳定性,甚至让企业蒙受不小的损失。那么,企业应该如何主动应对云安全挑战呢?下面小编给大家分享五个云安全防护要点:1、平衡保护和合规性在保护和合规性之间取得平衡是一项巨大的挑战。合规性法规往往被视为最低安全性的基本选择。但是,彻底的保护涉及部署多个安全层,这

  • 快快网络安全防护中心——解决云安全三大痛点,构筑企业全面安全防线

    近年来,互联网普及率和全球云计算市场规模呈持续稳步增长状态。随着云计算的需求越来越多样化,在衍生出多种云计算应用场景的同时,也催生出更多网络安全需求。据IDC预测,到2022年,云安全市场规模预计将从2017年的40亿元增至110亿元,年均复合增长率达到24%,这说明用户已不再仅仅考虑“如何上云”,而是转而迫切寻求“如何保障云安全”的方法。针对这一形势,厦门快快网络科技有限公司(简称“快快网络”),凭借自身深入产业互?

  • 出于对新冠病毒的担忧,斯坦福大学暂时转向了网络教学

    由于对冠状病毒爆发的担忧日益加剧,斯坦福大学(Stanford University)取消了本季度最后两周的现场授课,改为在线授课。

  • Check Point:抗疫关键时期,谨新冠病毒恶意域名

    最近几周,凭借广大医护工作者的无私奉献,以及全国各地每个人的点滴努力,肆虐多时的新冠病毒在我国已经持续呈现下降趋势。然而,不得不引起人们警惕的是在互联网上,基于新冠病毒的各种恶意攻击还在不断攀升。众所周知,黑客往往会利用公众急切关注的心理实施网络侵害。正如我们Check Point最新 报告 指出:全球黑客发现冠状病毒可以为他们的攻击活动提供伪装。冠状病毒疫情的突然爆发和持续传播为黑客们提供可乘之机。同时报告?

  • 厦门快快网络高防服务器,安全、高效、显著,精准防御DDoS攻击

    在如今网络安全问题频发的时代,各种层出不穷、令人防不胜防的网络攻击随时都有可能爆发出来,正是在这种复杂多变的背景环境和情况下,现在市面上的“高防服务器”越来越受到更多企业用户的重视和青睐。高防服务器,简单的来说,就是自带一定防御能力的服务器,是指独立单个硬防防御能力50G以上的服务器类型;能够为用户防御DDoS攻击和CC攻击,为用户提供网络安全维护的服务器类型。一般而言,高防服务器除了具备普通服务器的功能之

  • 巨人统平网络教你如何避开网络“陷阱”

    随着网络技术发展,新型诈骗手段层出不穷,甚至已经成为严重威胁人民群众财产安全的侵财犯罪之一。在这里, 上海巨人统平网络想教大家几点防诈骗的预防以及应对方法。首先,我们需要了解网络诈骗的定义,指:以非法占有为目的,利用互联网采用虚拟事实或 者隐瞒事实真相的方法。网络诈骗形式繁多,有购物、炒股、中奖、冒充银行网站等名头。其中,假冒网站“钓鱼“最为常见。骗子将网站设计成正规网站的模样,且域名十分相似,地址

  • 落实网络生态新规 共建清朗网络空间

    近年来,随着互联网的日益普及和移动化、社交化、智能化的发展,网络治理也面临许多新的课题。加强网络生态治理,是建立健全网络综合治理体系,培育积极健康、向上向善的网络文化的需要,也是维护互联网行业和广大网民合法利益的需要。《规定》的出台,是我国网络信息内容生态治理法治领域的一个里程碑,业界同行普遍关注,十分期待。《规定》首次以法规形式提出“生态治理”概念。从管理内容上看,《规定》将“不良信息”从“违法

  • 微软、微信与世卫组织合作,举办冠状病毒黑客马拉松

    3月25日消息,世界卫生组织WHO与Facebook、微软、微信、Twitter等公司合作举办了一场黑客马拉松,以推动软件开发,应对与冠状病毒大流行有关的挑战。这项活动将在4月3日正式开始,黑客马拉松活动鼓励软件开发人员围绕健康、弱势群体、企业、社区、教育和娱乐等主题开发项目。

  • 以色列知名安全公司:发现Google商店儿童应用隐藏恶意软件

    据外媒报道,以色列网络安全公司Check Point的研究人员最近发现,谷歌的Google Play商店中的大量实用程序和儿童应用程序都包含隐藏的自动点击型恶意软件,其下载量超过 100 万次。Check Point向谷歌披露了调查结果后,谷歌删除了这些应用程序。

  • Facebook、微软和世卫组织合作举办与新冠病毒相关黑客马拉松

    世界卫生组织(World Health Organization)与Facebook、微软(Microsoft)和其他几家科技公司合作,举办了一场黑客马拉松,以推动软件开发,应对与新冠病毒大流行有关的挑战。BuildforCOVID19 黑客马拉松于周二宣布,并将于周四开始接受项目提交。

  • 网络机顶盒哪个好?好用的网络机顶盒都在这边

    作为一个测评过数十款网络机顶盒的测评小编,对网络机顶盒哪个好这个问题有自己独到的见解,现在就把目前热门的几个网络机顶盒给大家做一个简单的分析,让我们消费者在选择网络机顶盒的时候有一定的方向和思路。首先我们选择网络机顶盒的时候,其实还是要有目的的去找,然后根据几个重要的参数去选择,这样就可以很好的去选择,所以我们选择网络机顶盒的时候,也需要根据几个重要的参数去选择,我们可以简单的把参数分为两个类型,

  • PlayStation和Xbox的网络也可能因为激增的网络使用需求进行调整

    3月26日据engadget报道,微软Xbox产品服务副总裁Dave McCarthy表示,微软“正在密切关注网络流量,并会进行临时调整以确保玩家尽可能获得流畅的体验”。同时索尼互动娱乐的CEO Jim Ryan则是在官方博客中承诺,他们会尽力打消大家对网络稳定性的顾虑。

  • 英国多家运营商网络崩溃 运营商网络崩溃原因是什么?

    3月18日消息,近日包括EE、O2、沃达丰在内大多数英国运营商都出现了服务故障,故障导致用户无法拨打电话、发送短信以及使用移动数据服务等,据悉本次服务故障的原因可能是疫情导致的在家办公,网络服务需求激增有关。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议