您的任務就是在產品公開發(fā)布之前嚴守相關秘密。但遺憾的是，您想要給公眾的這一驚喜即將毀于一旦。即使我們竭盡所能去防止包括偶然外泄和內部泄漏在內的一系列情況，但這種意外還是時有發(fā)生�？梢哉f最壞的情況是：您的公司系統(tǒng)被入侵，與這款新產品相關的信息資料被盜取。

　　遇到這種情況確實倒霉，但類似這樣的數據泄漏事件其實并不罕見，對安全專業(yè)人員來說更是司空見慣。雖然它們波及的部門不止一個，但是盜取數據的方式通常包括一些常見的方法。潛在的嫌疑人有很多，但是要弄清他們的動機卻很難。然而在這場  “ 追尋線索 ” 的網絡安全游戲中，我們真正想要了解的并不是惡意攻擊者到底是誰，而是它們使用了哪些武器，以及今后如何防止此類攻擊事件再次上演。

　　網絡惡意攻擊者的 “ 軍火庫 ” 里有各式各樣強大的武器。下載程序、管理工具和間諜軟件通常都會被用于發(fā)動此類攻擊。但是在當下許多攻擊場景中，最常用的工具卻是遠程訪問木馬，我們通常將它們稱之為 “ RAT ” 。

　　RAT 是一種如 “ 瑞士軍刀 ” 般的武器。許多 RAT 病毒不僅通過許多常見的載體（ 如惡意下載文件和電子郵件附件 ）進行傳播，還會用到前面提到的所有武器，甚至更多，從而方便惡意攻擊者在發(fā)動攻擊時對每一個組件都加以利用。簡言之，RAT 其實是把許多惡意工具整合到同一個工具包中。

　　RAT 與 RAT 之間也存在很多區(qū)別。有些 RAT 可謂全才，適用于多種攻擊場景，而有些則是為發(fā)動特定攻擊而量身定制的；有些 RAT 會借助預先設定好的代理來掩蓋攻擊者的最終位置，有些可能會借用 C2（ 命令控制型 ）基礎設施達到同樣的目的。

　　盡管不同的 RAT 會通過不同的功能和基礎設施來發(fā)動攻擊，但我們在分析許多 RAT 后總結出幾個共同特征。為了闡明具體的攻擊過程，我們不妨再回到文章開頭提到的科技公司新產品資料外泄事件，通過這個具體案例來說明惡意攻擊者如何利用 RAT 訪問并竊取有關新產品的敏感文件。

　　攻擊者通過一封包含 RAT 鏈接的網絡釣魚郵件成功突破了您公司的網絡防御機制。但這并不意味著它們會立即搞清楚自己在網絡中的具體位置。針對已遭其黑手的計算機，它們自然想了解更多，比如這是行政助理的臺式機，還是財務部的筆記本，或者就是一臺 Web 服務器呢？攻擊者可通過全面的系統(tǒng)偵查了解自己在目標企業(yè)中的滲透程度，比如是否還需要橫向移動，或者是否已經抵達既定目標。有些網絡偵察工具甚至允許惡意攻擊者掃描其他系統(tǒng)，并收集相關信息。

　　攻擊者成功入侵了一臺設備，但這臺設備并非它的預期目標。雖然他們破壞了工程部某位員工的一臺計算機，但它們想要盜取的資料卻保存在一臺共享服務器中。如果要橫向移動，它們可能需要想辦法在它們已經入侵的系統(tǒng)上搜索登錄憑據。許多 RAT 都具有抓取已保存和已緩存密碼的功能，所以一旦惡意攻擊者拿到用戶名和密碼，就會嘗試登錄共享服務器。

　　攻擊者掃描受損計算機以查找登錄憑據，但一無所獲。這算是個好消息嗎？是的，然而這只是攻擊者遇到的一個小小的挫折。許多 RAT 都包含諸如鍵盤監(jiān)聽程序之類的信息竊取組件，也就是說攻擊者只需要啟用這個組件，然后坐等已感染系統(tǒng)的用戶登錄共享服務器即可。用戶將登錄憑據輸入系統(tǒng)，攻擊者便隨之將其捕獲，之后便會自行嘗試登錄服務器。

　　攻擊者雖然能夠獲得登錄憑據；但它們的登陸嘗試還是以失敗告終。（ 或許您公司采用多因素身份驗證機制？）為了能夠進入到工程部的共享服務器，攻擊者將不得不請求增援。它們發(fā)現了共享服務器的一個漏洞，然后需要通過一套攻擊工具對這個漏洞加以利用，以獲取訪問權限。鑒于不同網絡間存在的巨大差異，許多 RAT 都能通過下載更多工具來幫助自己獲得進一步的訪問權限。在這種情況下， RAT 在運行時會模仿下載程序，即下載一套攻擊工具來幫助攻擊者繼續(xù)前進。

　　假設攻擊者終于訪問了共享服務器，遍歷了其目錄結構，并找到了公司新產品功能的文檔資料。接下來它們就要盜取這些文件。大部分 RAT 都能將文件上傳到預先設定好的位置。這項工作通常需要代理協助或依托 C2 基礎設施才能完成，攻擊者在竊取相關文檔資料時的蹤跡也因此可被覆蓋。

　　有時候，惡意攻擊者可能并不滿足止步于竊取設計文檔。它們可能拿到了一組幻燈片，但其中幾頁缺少上下文。為了獲得更多資料，它們會將目光轉回最早攻擊的那臺計算機，然后通過 RAT 錄制音頻和/或視頻資料。RAT 可能會偷聽工程師與同事的對話，也可能會把旨在探討新產品的演示會議過程錄成一段視頻。RAT 也經常通過截取屏幕圖像的方式來捕獲屏幕上正在顯示的重要文檔。

　　這只是 RAT 貫穿攻擊過程始終的一種場景。其實它也被用于其他很多情境。舉個例子，如果攻擊者要竊取財務數據，就可利用 RAT 從某臺計算機中盜取銀行信息，或通過鍵盤監(jiān)聽程序收集信用卡號碼。

　　這里需要強調一點，那就是大多數 RAT 病毒都能通過命令行訪問已遭入侵的系統(tǒng)。如果惡意攻擊者對這類計算機獲得了足夠的管理權限，就可將 RAT 用作武器為所欲為。

　　雖然這一次攻擊者成功入侵了您公司的網絡并拿到產品計劃。您該如何防止它們重蹈覆轍？

　　幸運的是， RAT 進入系統(tǒng)的方式并沒有什么特別之處。它們在系統(tǒng)內的散布方式與其他類型的惡意軟件大致相同：通過電子郵件發(fā)送，由丟棄程序刪除，并與其他幾種常見的攻擊載體一同被設置為漏洞攻擊工具的有效載荷。我們建議您應考慮以下幾點：

　　掃描二維碼 免費試用思科郵件安全方案