一、背景

根據(jù) FreeBuf（標題為：潛藏系統(tǒng)2個月未被發(fā)現(xiàn)，新型網(wǎng)絡攻擊瞄準中國高價值目標）和 The Hacker News（標題為：New Cyberattack Targets Chinese-Speaking Businesses with Cobalt Strike Payloads）的報道，近期，針對中文企業(yè)的新一輪網(wǎng)絡攻擊活動引起了廣泛關(guān)注。攻擊者使用了Cobalt Strike 載荷，針對特定目標進行了精確打擊。Securonix 研究人員 Den Iuzvyk 和 Tim Peck 在報告中指出，攻擊者設法在系統(tǒng)內(nèi)橫向移動，建立持久性，并在兩個多月的時間里未被發(fā)現(xiàn)。

攻擊開始于惡意的 ZIP 文件，當這些文件被解壓縮時，會激活感染鏈，導致在被攻擊的系統(tǒng)上部署后開發(fā)工具包。攻擊者通過發(fā)送精心設計的釣魚郵件，誘導受害者下載并執(zhí)行惡意文件，從而啟動感染鏈。研究人員強調(diào)，鑒于誘餌文件中使用的語言，與中國相關(guān)的商業(yè)或政府部門很可能是其特定的目標。尤其是那些雇傭了遵守“遠程控制軟件規(guī)定”的人員的公司，通常被認為具有較高的商業(yè)價值和數(shù)據(jù)價值，吸引了攻擊者的注意。

二、防止 Cobalt Strike 載荷攻擊的一般措施

為了有效防止 Cobalt Strike 載荷攻擊，需要企業(yè)采取更加全面的安全措施：

1、端點檢測與響應 (EDR)：部署高級的端點安全解決方案，這些工具能夠檢測和阻止 Cobalt Strike 載荷的執(zhí)行和活動。

2、網(wǎng)絡流量監(jiān)控：利用網(wǎng)絡監(jiān)控工具檢測可疑的網(wǎng)絡行為，尤其是與 Cobalt Strike 的命令與控制 (C2) 通信相關(guān)的流量。

3、訪問控制和最小權(quán)限：嚴格控制遠程訪問權(quán)限，確保只有必要的用戶和設備能夠訪問關(guān)鍵系統(tǒng)。

4、定期安全更新：保持操作系統(tǒng)、應用程序和遠程訪問工具的及時更新，以修補已知的漏洞。

5、用戶培訓：定期進行安全意識培訓，教育用戶如何識別釣魚攻擊和其他社工攻擊，防止初始感染。

6、多層防御：結(jié)合使用防火墻、入侵檢測和防御系統(tǒng) (IDS/IPS) 等其他安全工具，形成多層次的防御機制。

三、使用 Splashtop 防止 Cobalt Strike 載荷攻擊的一些實踐建議

使用 Splashtop 安全遠程訪問能夠在一定程度上防止 Cobalt Strike 載荷攻擊并縮小攻擊所帶來的影響，下面是一些具體的原理說明及實踐建議。

1、網(wǎng)絡分段及關(guān)鍵業(yè)務隔離

從 Cobalt Strike 攻擊的原理來說，它首先感染一些易感染的機器，譬如那些需要經(jīng)常移動辦公、需要經(jīng)常處理文件拷貝、郵件等等。然后，通過橫向移動，進一步感染網(wǎng)絡內(nèi)其他節(jié)點，并獲取企業(yè)敏感數(shù)據(jù)或者發(fā)起其他攻擊。

針對這個行為，我們可以對這些易感染的機器和企業(yè)關(guān)鍵業(yè)務相關(guān)機器進行網(wǎng)絡隔離，在企業(yè)關(guān)鍵業(yè)務機器網(wǎng)絡設置嚴格的防火墻規(guī)則、入侵檢測和防御系統(tǒng)(IDS/IPS），并使用 Splashtop 安全遠程訪問產(chǎn)品從這些易感染的機器訪問關(guān)鍵業(yè)務機器及服務。

因為 Splashtop 安全遠程桌面是基于流媒體的私有遠程桌面協(xié)議，它本身不會突破網(wǎng)絡區(qū)隔，因此，能夠有效防止攻擊的橫向移動，縮小攻擊面。

2、身份及設備驗證

Splashtop 安全遠程訪問提供了多種身份及設備驗證機制，能夠有效地控制訪問的設備的可信度：

AD、SSO 等賬號集成選項

設備驗證

多因素驗證

3、嚴格的訪問權(quán)限控制

Splashtop 安全遠程訪問提供了精細化權(quán)限管理功能，幫助企業(yè)實現(xiàn)最小化授權(quán)：

用戶訪問設備授權(quán)：用戶僅能訪問被授權(quán)的機器。

功能精細化控制：對訪問中的功能進行控制，譬如文件傳輸?shù)取?/p>

4、端到端數(shù)據(jù)加密

Splashtop 安全遠程訪問的數(shù)據(jù)傳輸都采用了 AES256 安全傳輸，防止中間人嗅探及攻擊。

四、關(guān)于 Splashtop 安全遠程桌面

Splashtop 安全遠程訪問產(chǎn)品是企業(yè)級遠程桌面產(chǎn)品，它具有高性能、高安全、多功能的特點，廣受世界500強企業(yè)的信賴，適用于遠程辦公、遠程技術(shù)支持等多種場景，被廣泛應用于金融、制造、娛樂與多媒體、IT服務、教育、政府等領(lǐng)域。