一、背景

根據(jù) FreeBuf（標(biāo)題為：潛藏系統(tǒng)2個月未被發(fā)現(xiàn)，新型網(wǎng)絡(luò)攻擊瞄準(zhǔn)中國高價值目標(biāo)）和 The Hacker News（標(biāo)題為：New Cyberattack Targets Chinese-Speaking Businesses with Cobalt Strike Payloads）的報道，近期，針對中文企業(yè)的新一輪網(wǎng)絡(luò)攻擊活動引起了廣泛關(guān)注。攻擊者使用了Cobalt Strike 載荷，針對特定目標(biāo)進(jìn)行了精確打擊。Securonix 研究人員 Den Iuzvyk 和 Tim Peck 在報告中指出，攻擊者設(shè)法在系統(tǒng)內(nèi)橫向移動，建立持久性，并在兩個多月的時間里未被發(fā)現(xiàn)。

攻擊開始于惡意的 ZIP 文件，當(dāng)這些文件被解壓縮時，會激活感染鏈，導(dǎo)致在被攻擊的系統(tǒng)上部署后開發(fā)工具包。攻擊者通過發(fā)送精心設(shè)計的釣魚郵件，誘導(dǎo)受害者下載并執(zhí)行惡意文件，從而啟動感染鏈。研究人員強調(diào)，鑒于誘餌文件中使用的語言，與中國相關(guān)的商業(yè)或政府部門很可能是其特定的目標(biāo)。尤其是那些雇傭了遵守“遠(yuǎn)程控制軟件規(guī)定”的人員的公司，通常被認(rèn)為具有較高的商業(yè)價值和數(shù)據(jù)價值，吸引了攻擊者的注意。

二、防止 Cobalt Strike 載荷攻擊的一般措施

為了有效防止 Cobalt Strike 載荷攻擊，需要企業(yè)采取更加全面的安全措施：

1、端點檢測與響應(yīng) (EDR)：部署高級的端點安全解決方案，這些工具能夠檢測和阻止 Cobalt Strike 載荷的執(zhí)行和活動。

2、網(wǎng)絡(luò)流量監(jiān)控：利用網(wǎng)絡(luò)監(jiān)控工具檢測可疑的網(wǎng)絡(luò)行為，尤其是與 Cobalt Strike 的命令與控制 (C2) 通信相關(guān)的流量。

3、訪問控制和最小權(quán)限：嚴(yán)格控制遠(yuǎn)程訪問權(quán)限，確保只有必要的用戶和設(shè)備能夠訪問關(guān)鍵系統(tǒng)。

4、定期安全更新：保持操作系統(tǒng)、應(yīng)用程序和遠(yuǎn)程訪問工具的及時更新，以修補已知的漏洞。

5、用戶培訓(xùn)：定期進(jìn)行安全意識培訓(xùn)，教育用戶如何識別釣魚攻擊和其他社工攻擊，防止初始感染。

6、多層防御：結(jié)合使用防火墻、入侵檢測和防御系統(tǒng) (IDS/IPS) 等其他安全工具，形成多層次的防御機制。

三、使用 Splashtop 防止 Cobalt Strike 載荷攻擊的一些實踐建議

使用 Splashtop 安全遠(yuǎn)程訪問能夠在一定程度上防止 Cobalt Strike 載荷攻擊并縮小攻擊所帶來的影響，下面是一些具體的原理說明及實踐建議。

1、網(wǎng)絡(luò)分段及關(guān)鍵業(yè)務(wù)隔離

從 Cobalt Strike 攻擊的原理來說，它首先感染一些易感染的機器，譬如那些需要經(jīng)常移動辦公、需要經(jīng)常處理文件拷貝、郵件等等。然后，通過橫向移動，進(jìn)一步感染網(wǎng)絡(luò)內(nèi)其他節(jié)點，并獲取企業(yè)敏感數(shù)據(jù)或者發(fā)起其他攻擊。

針對這個行為，我們可以對這些易感染的機器和企業(yè)關(guān)鍵業(yè)務(wù)相關(guān)機器進(jìn)行網(wǎng)絡(luò)隔離，在企業(yè)關(guān)鍵業(yè)務(wù)機器網(wǎng)絡(luò)設(shè)置嚴(yán)格的防火墻規(guī)則、入侵檢測和防御系統(tǒng)(IDS/IPS），并使用 Splashtop 安全遠(yuǎn)程訪問產(chǎn)品從這些易感染的機器訪問關(guān)鍵業(yè)務(wù)機器及服務(wù)。

因為 Splashtop 安全遠(yuǎn)程桌面是基于流媒體的私有遠(yuǎn)程桌面協(xié)議，它本身不會突破網(wǎng)絡(luò)區(qū)隔，因此，能夠有效防止攻擊的橫向移動，縮小攻擊面。

2、身份及設(shè)備驗證

Splashtop 安全遠(yuǎn)程訪問提供了多種身份及設(shè)備驗證機制，能夠有效地控制訪問的設(shè)備的可信度：

AD、SSO 等賬號集成選項

設(shè)備驗證

多因素驗證

3、嚴(yán)格的訪問權(quán)限控制

Splashtop 安全遠(yuǎn)程訪問提供了精細(xì)化權(quán)限管理功能，幫助企業(yè)實現(xiàn)最小化授權(quán)：

用戶訪問設(shè)備授權(quán)：用戶僅能訪問被授權(quán)的機器。

功能精細(xì)化控制：對訪問中的功能進(jìn)行控制，譬如文件傳輸?shù)取?/p>

4、端到端數(shù)據(jù)加密

Splashtop 安全遠(yuǎn)程訪問的數(shù)據(jù)傳輸都采用了 AES256 安全傳輸，防止中間人嗅探及攻擊。

四、關(guān)于 Splashtop 安全遠(yuǎn)程桌面

Splashtop 安全遠(yuǎn)程訪問產(chǎn)品是企業(yè)級遠(yuǎn)程桌面產(chǎn)品，它具有高性能、高安全、多功能的特點，廣受世界500強企業(yè)的信賴，適用于遠(yuǎn)程辦公、遠(yuǎn)程技術(shù)支持等多種場景，被廣泛應(yīng)用于金融、制造、娛樂與多媒體、IT服務(wù)、教育、政府等領(lǐng)域。