新一期的絨絨說安全又和大家見面了,今天我們為大家介紹下什麼是跳板攻擊。
跳板攻擊是黑客入侵目標網絡的一種常用手段。黑客在實施攻擊時,通常不會直接從自己的系統向目標發動攻擊,而是先攻破若干中間系統,使之成為「跳板機」,再通過這些跳板機完成攻擊行動,這個過程就是跳板攻擊。
(註:本文中的跳板機與運維人員常用的跳板機不同,其指已經被黑客控制,且可以訪問內網進行橫向攻擊的肉雞)
黑客實施跳板攻擊的原因主要有兩個:一方面是跳板攻擊的匿名性比較高,且跳板機越多,溯源難度就越高;另一方面是跳板機所在的位置可能比黑客計算機所在的位置更有利,方便其深入專用網絡進行後續攻擊。
例如在針對西北工業大學的網絡攻擊中,美國NSA下屬TAO攻擊了中國周邊國家的大批伺服器,並控制了大量跳板機,隨後精心挑選了其中的49台跳板機和5台代理伺服器進行竊密行動,這些跳板機主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家,其中70%位於中國周邊國家,如日本、韓國等。
與上述流程類似,下面絨絨以火絨工程師幫助某企業解決的一次實際攻擊為例,為大家介紹下跳板攻擊的流程。
1、確認目標
黑客利用掃描工具等手段收集目標敏感信息,找到目標脆弱部分,準備實施攻擊。
2、設計跳板
黑客利用暴破、漏洞等方式,完全遠程控制一台或多台電腦,這些被完全遠程控制的電腦也就是我們常說的肉雞。在這些肉雞中,黑客會篩選出多台不易被發現的肉雞作為跳板機,為後續攻擊作準備。
3、跳板入侵
(1)破壞安全環境
黑客在跳板機上卸載或關閉安全軟體、防火牆,以便植入病毒,長期維持控制權或入侵時不被攔截。
(2)上傳黑客工具
黑客在跳板機中上傳用來盜竊信息、破壞系統環境或完全控制電腦的惡意軟體程序。
(3)橫向攻擊並投毒
黑客利用上傳的惡意工具作進一步橫向滲透,例如進行獲取Windows帳戶名和密碼、掃描網絡內終端以及獲取企業內文件共享情況等操作。以便向內網其他電腦投放勒索病毒、後門程序、蠕蟲病毒等高危病毒,獲取並控制高價值的目標電腦。
4、重複攻擊
在內網的其他終端上重複<跳板入侵>的3個步驟,最後利用多個跳板,對目標機器發起攻擊。
此外,若企業之前存在網絡共享的情況,黑客還可以在入侵網絡內任何一家企業後,以該企業為跳板,攻擊其它的關聯企業。一旦被攻擊的其它企業未做防護,將面臨各類安全風險。
火絨安全解決方案
對此,火絨安全產品為大家提供了有針對性的防護措施,來降低跳板攻擊發生的可能性。
- 開啟【密碼保護】功能,可以防止黑客卸載或關閉安全軟體,有效避免安全環境被破壞。
- 開啟【程序執行控制】功能,可限制Hacktool等具有破壞功能的惡意程序在電腦中運行。
- 在重要伺服器開啟【遠程登錄防護】功能,可根據需要在設置遠程登錄IP白名單。
- 開啟【文件實時監控】功能,即時攔截病毒程序,實時保護用戶的終端不受病毒侵害。
- 開啟【橫向滲透防護】功能,可及時阻斷內網已存在的滲透威脅的同時,做到追本溯源,找到跳板終端。
- 開啟【惡意行為監控】功能後,可幫助用戶監控程序運行的安全性,以增強對終端的防護。
如今黑客攻擊事件日漸增多,用戶和企業受到網絡攻擊的風險和頻率也越來越高。因此,火絨工程師為大家整理了一些預防指南,以規避類似安全事件帶來的風險:
- 儘量關閉不必要的埠,如:135,139,445,3389等埠;
- 關閉不必要的文件共享,若有需要,請設置強密碼訪問且禁用對共享的匿名訪問;
- 勿隨意打開陌生郵件,謹慎下載陌生郵件附件,不從不明網站下載軟體,若非必要,應禁止啟用Office宏代碼;
- 建議伺服器密碼使用高強度且無規律密碼,並定期更換密碼;
- 對沒有互聯需求的伺服器/工作站內部訪問設置相應控制,對於同一網絡環境下的其它企業或部門,在無業務需求的情況下,進行網絡隔離;
- 及時更新系統和為主機打補丁,修復相應的高危漏洞;
- 使用移動存儲設備時,遵循先查殺,後使用原則;
- 對重要文件和數據(資料庫等數據)進行定期非本地備份;
- 建議企業或單位統一部署終端安全軟體,定期升級病毒庫,全盤殺毒。
關於「火絨終端安全管理系統2.0」
「火絨終端安全管理系統2.0」自推出以來,已覆蓋全國50多個細分行業的數萬家政企單位。該產品擁有的諸多實用強大的功能,可充分滿足企事業單位用戶在網際網路威脅環境下的電腦終端防護需求。產品近期進一步擴大了服務範圍,推出了Linux控制中心及終端、macOS終端版本,歡迎前往火絨安全官網免費試用。