警惕這些企業常見網絡安全威脅,每一個都真實發生過
網絡攻擊其實離我們并不遠,在我們看不到的地方,它每時每刻都在上演。一不小心,我們很可能就陷入危險的境地。
2018年,廣州市某停車場管理員報案,稱其收費室電腦在夜間會“自動操作”,在無人使用的情況下“自己刪除”相關停車收費數據。經取證分析,警方發現該信息系統被惡意裝入“遠程控制軟件”,使得犯罪分子可遠程控制收費室電腦,對停車收費資金數據進行刪改等操作。
經調查發現,此案為該停車場物業管理公司財務經理、收費室管理員及收費系統運維公司經理互相勾結共同作案。犯罪人員利用職務之便,在停車場智能收費電腦以及個人手機安裝了“遠程控制軟件”,盜取物業公司資產。據統計,該犯罪團伙共計侵吞停車費約30萬元。
案例中,企業內部網絡安全管理制度落實不到位的情況可能只是個例,但通過遠程控制木馬病毒等不同網絡攻擊手段竊取企業財產、數據等的事件卻越來越普遍。為了應對更加猖獗的網絡攻擊,需要企業落實網絡安全管理制度,也需要每一個職場人強化安全意識。
根據微步在線檢測到的數據,這里我們將企業職場中經常會遇到的網絡威脅梳理出來,并為企業職場人員提供相關的安全建議,助你在職場安全防護上更進一步。
勒索軟件
案例回顧
2021年7月,美國軟件開發商 Kaseya Ltd. 遭到勒索軟件攻擊,攻擊主要集中在 Kaseya VSA 軟件上。而攻擊者正是 REvil 勒索軟件團伙,勒索軟件會鎖住受害者的電腦,直到受害者支付數字贖金,通常以比特幣形式支付。據了解,很多大型企業和技術服務供應商使用 Kaseya VSA 來管理軟件更新,并向電腦網絡上的系統發布軟件更新。此次攻擊事件可能已導致全球多達 4 萬臺電腦被感染。REvil 勒索軟件團伙則索要7000萬美元的贖金,以發布一個通用的的解碼器。
攻擊手段
勒索軟件是一種惡意攻擊,最常見的攻擊媒介是網絡釣魚郵件和強制遠程桌面協議(RDP),最終實現對企業的數據進行加密,并要求支付贖金才能恢復數據訪問,或者竊取企業信息,要求支付額外費用,否則就將信息對外曝光,當前階段主導了勒索軟件市場的團伙為Conti和REvil,兩個團伙均提供獨立的勒索軟件即服務(RaaS)平臺。
個人防護建議
提高對釣魚郵件的意識,不點擊不明郵件及其包含的鏈接。如果遭到任何攻擊行為,立即向企業IT人員報告,及時補救。另外對于系統官方升級需及時更新。
惡意軟件
惡意軟件是一個概括性的概念,指任何想要執行惡意未經授權的軟件、固件或代碼,這些程序將對系統的機密性、完整性或可用性會產生非常不利的影響。通常來說,惡意軟件存在的形式,包括病毒、蠕蟲、木馬或其他基于代碼感染主機的實體。間諜軟件和某些形式的廣告軟件也屬于惡意軟件。
01
遠程控制木馬
案例回顧
近日,廣州警方偵破一起利用木馬程序遠控攝像頭的案件,犯罪分子自學破解技術,隨機入侵密碼設置簡單的家用攝像頭。據警方公布,該男子共入侵500多組監控攝像頭,涉及婚紗店、商超換衣間及家庭臥室等私密場所,有的監控視頻甚至還被售賣。這其中涉及到的攻擊威脅即“遠程控制木馬”,旨在非法控制計算機信息系統、非法獲取計算機信息系統數據。
攻擊手段
遠程控制木馬是允許攻擊者遠程控制受感染系統的惡意軟件。其可根據目的實現不同的功能,包括DDOS攻擊,挖礦,控制文件管理,屏幕監控、命令執行、視頻監控、語音聊天等,通過控制程序實現對目標的隱私或數據控制。常見的遠控木馬包括Byshell 木馬、暗組遠控木馬、灰鴿子、黑洞、Zegost遠控等。
個人防護建議
遠控木馬攻擊范圍廣,任何一家企業都可能成為被攻擊的對象。企業員工需采用高強度密碼,避免使用弱密碼,比如12345這樣簡單、有規律的密碼,并且要定期更換密碼。同時,建議及時更新病毒版本,打開系統自動更新并及時安裝,不點擊來源不明的郵件中包含的鏈接,并且到正規的網站或應用商店下載程序。
02
惡意病毒
案例回顧
2020年1月,國家計算機病毒應急處理中心發布公告顯示,發現暴風激活工具15.0攜帶惡性病毒劫持用戶瀏覽器主頁,能夠使谷歌、火狐、IE、百度、搜狗、UC、QQ等所有主流瀏覽器被病毒篡改并鎖定,病毒作者從而實現通過導航網站流量分成。由于該木馬運行之后會將病毒文件釋放到Mlxg_km目錄下面,于是根據首字母將其命名為“麻辣香鍋病毒”。
攻擊手段
各類激活工具與破解軟件是該類病毒傳播的重要途徑,如暴風激活、小馬激活、KMS激活等工具,而這些激活軟件在下載之前,都會誘導用戶將裝在電腦里的殺毒軟件關掉,以此躲避殺毒軟件的查殺。
個人防護建議
慎用各種非官方激活工具,強烈建議選擇官方途徑進行激活,同時到正規網站或者應用商店下載程序,使用正版軟件。為了保證電腦安全,請記得及時更新電腦補丁,修復漏洞,同時不要關閉殺毒軟件。
03
挖礦木馬
案例回顧
2018 年 9 月,微步在線監測發現國內知名下載平臺“華軍軟件園”中提供的 NTFS For Mac 安裝文件包含惡意代碼,下載安裝該程序后會引入針對 macOS 系統的挖礦木馬,從而劫持電腦,讓中毒電腦淪為“礦工”,該挖礦木馬團伙為OSX偽裝者,專門篡改主流MAC應用的dmg軟件安裝包并植入挖礦木馬。
攻擊手段
挖礦,簡單來說就是通過大量計算機的運算,從而去獲得各種數字加密貨幣,而加密貨幣又能兌換或交易成錢。隨著數字貨幣價格上漲,挖礦木馬攻擊增多,入侵方式主要是利用漏洞、弱口令或者控制大量機器的僵尸網絡進行。
在相關軟件安裝的同時,攻擊者會將挖礦木馬植入受害者主機,該木馬通過連接攻擊者自建的私有礦池實施挖取門羅幣等的惡意活動。其中,OSX偽裝者挖礦團伙是一個利用macos破解版軟件來傳播挖礦木馬的一個團伙,常使用officeformac,lolformac,ntfsformac等破解版軟件或者偽裝的游戲軟件進行傳播,所以命名為OSX偽裝者挖礦團伙。
個人防護建議
針對OSX偽裝者挖礦團伙的攻擊,建議檢查是否使用ntfs4mac、office4mac、lol4mac 這三款軟件,目前掌握情報發現這三款軟件正在傳播 macOS系統的挖礦木馬,并通過各類渠道進行推廣。另外,建議 Mac 用戶在下載應用程序時務必通過官網渠道,切勿輕信所謂的“破解版”、“免費版”,防止被黑客利用。
04
蠕蟲病毒
案例回顧
2018年,多家三家醫院網站頁面被植入感染型蠕蟲病毒Ramnit,使得系統出現運行緩慢甚至崩潰的現象。已感染病毒的網頁文件上傳到網站,訪問者均會被感染,并出現蠕蟲式擴散。該醫院網頁被感染后,持續數日運行緩慢甚至崩潰,對辦公及相關醫療服務造成嚴重影響。
攻擊手段
Ramnit是一種影響Windows用戶的計算機蠕蟲,它通過可移動驅動器、公共FTP服務器上的受感染文件及合法網站或社交媒體上的惡意廣告提供的攻擊工具包進行傳播,并與可能有害的應用程序捆綁在一起。蠕蟲可以通過下載可執行的各種模塊從受感染的計算機中竊取信息,還能充當后門,從而允許遠程攻擊者訪問受感染的計算機。
個人防護建議
養成良好的上網習慣,不要輕易點擊來路不明的網站鏈接,不慎感染Ramnit蠕蟲病毒的用戶,賽門鐵克針對 Ramnit 病毒制作了專殺工具,被感染后可選擇使用專殺工具:
https://www.broadcom.com/support/security-center/detected-writeup?docid=2015-022415-4725-99。
網絡釣魚
釣魚網站/釣魚郵件
案例回顧
2019年7月初,韶關市翁源縣公安局接到當地多個單位報警稱,其單位均收到兄弟單位的不明郵件,工作人員未詳細辨識,點擊該郵件里附帶的鏈接內容后,該單位的用戶賬號和密碼被盜。據了解,在點擊該鏈接內容后,該單位保存的郵箱通訊錄好友也均收到相同的“木馬鏈接”。經調查,犯罪嫌疑人為30歲男子黃某,為錢財編寫仿造網易郵箱登錄界面,竊取他人郵箱賬號、密碼的釣魚網站。該釣魚網站通過大量發送冒充兄弟單位簽名含有木馬鏈接的郵件,引誘收信人點擊打開郵件。收件人一旦打開郵件,郵件內的木馬程序就會盜取收件人的郵箱賬戶及密碼,并回傳到嫌疑人的電腦上,同時木馬郵件又會利用郵箱通訊錄向其他郵箱繼續傳播。
攻擊手段
釣魚網站是指欺騙用戶的虛假網站。“釣魚網站”的頁面與真實網站界面基本一致,欺騙消費者或者竊取訪問者提交的賬號和密碼信息。釣魚網站是互聯網中最常碰到的一種詐騙方式,通常偽裝成銀行及電子商務,從而竊取用戶提交的銀行賬號、密碼等私密信息的網站。
而釣魚郵件則是利用偽裝成受害者“熟悉”的人或者品牌方的電子郵件,欺騙收件人將賬號、密碼等信息回復給指定接收者,或引導收件人點擊特制的釣魚網站,輸入信用卡或銀行卡等賬號密碼,導致信息被盜。
個人防護建議
識別釣魚網站,可通過多種方式。
首先,可通過微步情報驗證惡意網站,登錄https://x.threatbook.cn/輸入網址查詢,鑒別網站是否惡意。
其次,查驗“可信網站”標識,即點擊網站頁面底部的“可信網站”標識確認網站的真實身份。
再次,查看安全證書,大型電子商務網站均應用了可信證書類產品,這類網站網址為“https”開頭,如果發現不是“https”開頭,應謹慎對待。
另外,可以通過查詢ICP備案查詢網站的基本情況、網站擁有者等情況、以及通過比較域名及比較網站內容是否一致的方式,比較真偽。
此外,收到郵件后注意發件人郵箱地址、姓名等是否與真實完全一致,注意郵件內容,如出現索要登錄密碼、點擊鏈接地址、有郵件附件等情況,需要特別注意,不要隨意點擊,更不要隨便下載。
憑證盜取
VPN憑證泄露
案例回顧
2021年9月,有攻擊者在黑客論壇免費公布了一份近50萬條Fortinet VPN設備登錄憑證清單,據安全研究人員分析,其中包含12856臺設備上的498908名用戶的VPN登錄憑證。這些Fortinet VPN設備的IP分布在全球各地,其中位于中國(大陸+臺灣)的設備占比11.89%。
攻擊手段
虛擬專用網絡(Virtual Private Network,即VPN),主要通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。在企業網絡中有廣泛應用,如讓外地員工訪問到企業的內網資源,利用VPN即可進行加密訪問。攻擊者如果獲取到員工的VPN登錄賬號密碼,即可進入企業內網,竊取企業敏感信息與數據。
個人防護建議
不點擊不明鏈接,不可將自己的VPN賬號密碼告知企業外部人員,并且強烈建議設置復雜不規律高強度密碼,且定期進行更改,提升安全性。
作為普通的職場人,我們通常不會意識到網絡安全威脅,因為我們當下所處的環境,是被現有安全設備保護的環境。真實的情況是,企業每天都在感受來自網絡防護城墻之外,惡意攻擊者持續不斷的攻擊。
對于企業而言,需要增強的不僅僅是安全檢測與防護技術,還有企業員工的安全意識。在面對網絡攻擊時,人依舊是最薄弱的環節。報告顯示,企業60%的數據泄露來自內部威脅,也就是員工的無意識與操作疏忽,最常見的就是網絡釣魚鏈接點擊。一旦員工有了更強烈的安全意識,網絡安全這場持久戰就打開了新的局面。
