一、背景

根據(jù) FreeBuf（標(biāo)題為：潛藏系統(tǒng)2個(gè)月未被發(fā)現(xiàn)，新型網(wǎng)絡(luò)攻擊瞄準(zhǔn)中國(guó)高價(jià)值目標(biāo)）和 The Hacker News（標(biāo)題為：New Cyberattack Targets Chinese-Speaking Businesses with Cobalt Strike Payloads）的報(bào)道，近期，針對(duì)中文企業(yè)的新一輪網(wǎng)絡(luò)攻擊活動(dòng)引起了廣泛關(guān)注。攻擊者使用了Cobalt Strike 載荷，針對(duì)特定目標(biāo)進(jìn)行了精確打擊。Securonix 研究人員 Den Iuzvyk 和 Tim Peck 在報(bào)告中指出，攻擊者設(shè)法在系統(tǒng)內(nèi)橫向移動(dòng)，建立持久性，并在兩個(gè)多月的時(shí)間里未被發(fā)現(xiàn)。

攻擊開始于惡意的 ZIP 文件，當(dāng)這些文件被解壓縮時(shí)，會(huì)激活感染鏈，導(dǎo)致在被攻擊的系統(tǒng)上部署后開發(fā)工具包。攻擊者通過發(fā)送精心設(shè)計(jì)的釣魚郵件，誘導(dǎo)受害者下載并執(zhí)行惡意文件，從而啟動(dòng)感染鏈。研究人員強(qiáng)調(diào)，鑒于誘餌文件中使用的語(yǔ)言，與中國(guó)相關(guān)的商業(yè)或政府部門很可能是其特定的目標(biāo)。尤其是那些雇傭了遵守“遠(yuǎn)程控制軟件規(guī)定”的人員的公司，通常被認(rèn)為具有較高的商業(yè)價(jià)值和數(shù)據(jù)價(jià)值，吸引了攻擊者的注意。

二、防止 Cobalt Strike 載荷攻擊的一般措施

為了有效防止 Cobalt Strike 載荷攻擊，需要企業(yè)采取更加全面的安全措施：

1、端點(diǎn)檢測(cè)與響應(yīng) (EDR)：部署高級(jí)的端點(diǎn)安全解決方案，這些工具能夠檢測(cè)和阻止 Cobalt Strike 載荷的執(zhí)行和活動(dòng)。

2、網(wǎng)絡(luò)流量監(jiān)控：利用網(wǎng)絡(luò)監(jiān)控工具檢測(cè)可疑的網(wǎng)絡(luò)行為，尤其是與 Cobalt Strike 的命令與控制 (C2) 通信相關(guān)的流量。

3、訪問控制和最小權(quán)限：嚴(yán)格控制遠(yuǎn)程訪問權(quán)限，確保只有必要的用戶和設(shè)備能夠訪問關(guān)鍵系統(tǒng)。

4、定期安全更新：保持操作系統(tǒng)、應(yīng)用程序和遠(yuǎn)程訪問工具的及時(shí)更新，以修補(bǔ)已知的漏洞。

5、用戶培訓(xùn)：定期進(jìn)行安全意識(shí)培訓(xùn)，教育用戶如何識(shí)別釣魚攻擊和其他社工攻擊，防止初始感染。

6、多層防御：結(jié)合使用防火墻、入侵檢測(cè)和防御系統(tǒng) (IDS/IPS) 等其他安全工具，形成多層次的防御機(jī)制。

三、使用 Splashtop 防止 Cobalt Strike 載荷攻擊的一些實(shí)踐建議

使用 Splashtop 安全遠(yuǎn)程訪問能夠在一定程度上防止 Cobalt Strike 載荷攻擊并縮小攻擊所帶來的影響，下面是一些具體的原理說明及實(shí)踐建議。

1、網(wǎng)絡(luò)分段及關(guān)鍵業(yè)務(wù)隔離

從 Cobalt Strike 攻擊的原理來說，它首先感染一些易感染的機(jī)器，譬如那些需要經(jīng)常移動(dòng)辦公、需要經(jīng)常處理文件拷貝、郵件等等。然后，通過橫向移動(dòng)，進(jìn)一步感染網(wǎng)絡(luò)內(nèi)其他節(jié)點(diǎn)，并獲取企業(yè)敏感數(shù)據(jù)或者發(fā)起其他攻擊。

針對(duì)這個(gè)行為，我們可以對(duì)這些易感染的機(jī)器和企業(yè)關(guān)鍵業(yè)務(wù)相關(guān)機(jī)器進(jìn)行網(wǎng)絡(luò)隔離，在企業(yè)關(guān)鍵業(yè)務(wù)機(jī)器網(wǎng)絡(luò)設(shè)置嚴(yán)格的防火墻規(guī)則、入侵檢測(cè)和防御系統(tǒng)(IDS/IPS），并使用 Splashtop 安全遠(yuǎn)程訪問產(chǎn)品從這些易感染的機(jī)器訪問關(guān)鍵業(yè)務(wù)機(jī)器及服務(wù)。

因?yàn)?Splashtop 安全遠(yuǎn)程桌面是基于流媒體的私有遠(yuǎn)程桌面協(xié)議，它本身不會(huì)突破網(wǎng)絡(luò)區(qū)隔，因此，能夠有效防止攻擊的橫向移動(dòng)，縮小攻擊面。

2、身份及設(shè)備驗(yàn)證

Splashtop 安全遠(yuǎn)程訪問提供了多種身份及設(shè)備驗(yàn)證機(jī)制，能夠有效地控制訪問的設(shè)備的可信度：

AD、SSO 等賬號(hào)集成選項(xiàng)

設(shè)備驗(yàn)證

多因素驗(yàn)證

3、嚴(yán)格的訪問權(quán)限控制

Splashtop 安全遠(yuǎn)程訪問提供了精細(xì)化權(quán)限管理功能，幫助企業(yè)實(shí)現(xiàn)最小化授權(quán)：

用戶訪問設(shè)備授權(quán)：用戶僅能訪問被授權(quán)的機(jī)器。

功能精細(xì)化控制：對(duì)訪問中的功能進(jìn)行控制，譬如文件傳輸?shù)取?/p>

4、端到端數(shù)據(jù)加密

Splashtop 安全遠(yuǎn)程訪問的數(shù)據(jù)傳輸都采用了 AES256 安全傳輸，防止中間人嗅探及攻擊。

四、關(guān)于 Splashtop 安全遠(yuǎn)程桌面

Splashtop 安全遠(yuǎn)程訪問產(chǎn)品是企業(yè)級(jí)遠(yuǎn)程桌面產(chǎn)品，它具有高性能、高安全、多功能的特點(diǎn)，廣受世界500強(qiáng)企業(yè)的信賴，適用于遠(yuǎn)程辦公、遠(yuǎn)程技術(shù)支持等多種場(chǎng)景，被廣泛應(yīng)用于金融、制造、娛樂與多媒體、IT服務(wù)、教育、政府等領(lǐng)域。