一、背景

根據 FreeBuf（標題為：潛藏系統2個月未被發現，新型網絡攻擊瞄準中國高價值目標）和 The Hacker News（標題為：New Cyberattack Targets Chinese-Speaking Businesses with Cobalt Strike Payloads）的報道，近期，針對中文企業的新一輪網絡攻擊活動引起了廣泛關注。攻擊者使用了Cobalt Strike 載荷，針對特定目標進行了精確打擊。Securonix 研究人員 Den Iuzvyk 和 Tim Peck 在報告中指出，攻擊者設法在系統內橫向移動，建立持久性，并在兩個多月的時間里未被發現。

攻擊開始于惡意的 ZIP 文件，當這些文件被解壓縮時，會激活感染鏈，導致在被攻擊的系統上部署后開發工具包。攻擊者通過發送精心設計的釣魚郵件，誘導受害者下載并執行惡意文件，從而啟動感染鏈。研究人員強調，鑒于誘餌文件中使用的語言，與中國相關的商業或政府部門很可能是其特定的目標。尤其是那些雇傭了遵守“遠程控制軟件規定”的人員的公司，通常被認為具有較高的商業價值和數據價值，吸引了攻擊者的注意。

二、防止 Cobalt Strike 載荷攻擊的一般措施

為了有效防止 Cobalt Strike 載荷攻擊，需要企業采取更加全面的安全措施：

1、端點檢測與響應 (EDR)：部署高級的端點安全解決方案，這些工具能夠檢測和阻止 Cobalt Strike 載荷的執行和活動。

2、網絡流量監控：利用網絡監控工具檢測可疑的網絡行為，尤其是與 Cobalt Strike 的命令與控制 (C2) 通信相關的流量。

3、訪問控制和最小權限：嚴格控制遠程訪問權限，確保只有必要的用戶和設備能夠訪問關鍵系統。

4、定期安全更新：保持操作系統、應用程序和遠程訪問工具的及時更新，以修補已知的漏洞。

5、用戶培訓：定期進行安全意識培訓，教育用戶如何識別釣魚攻擊和其他社工攻擊，防止初始感染。

6、多層防御：結合使用防火墻、入侵檢測和防御系統 (IDS/IPS) 等其他安全工具，形成多層次的防御機制。

三、使用 Splashtop 防止 Cobalt Strike 載荷攻擊的一些實踐建議

使用 Splashtop 安全遠程訪問能夠在一定程度上防止 Cobalt Strike 載荷攻擊并縮小攻擊所帶來的影響，下面是一些具體的原理說明及實踐建議。

1、網絡分段及關鍵業務隔離

從 Cobalt Strike 攻擊的原理來說，它首先感染一些易感染的機器，譬如那些需要經常移動辦公、需要經常處理文件拷貝、郵件等等。然后，通過橫向移動，進一步感染網絡內其他節點，并獲取企業敏感數據或者發起其他攻擊。

針對這個行為，我們可以對這些易感染的機器和企業關鍵業務相關機器進行網絡隔離，在企業關鍵業務機器網絡設置嚴格的防火墻規則、入侵檢測和防御系統(IDS/IPS），并使用 Splashtop 安全遠程訪問產品從這些易感染的機器訪問關鍵業務機器及服務。

因為 Splashtop 安全遠程桌面是基于流媒體的私有遠程桌面協議，它本身不會突破網絡區隔，因此，能夠有效防止攻擊的橫向移動，縮小攻擊面。

2、身份及設備驗證

Splashtop 安全遠程訪問提供了多種身份及設備驗證機制，能夠有效地控制訪問的設備的可信度：

AD、SSO 等賬號集成選項

設備驗證

多因素驗證

3、嚴格的訪問權限控制

Splashtop 安全遠程訪問提供了精細化權限管理功能，幫助企業實現最小化授權：

用戶訪問設備授權：用戶僅能訪問被授權的機器。

功能精細化控制：對訪問中的功能進行控制，譬如文件傳輸等。

4、端到端數據加密

Splashtop 安全遠程訪問的數據傳輸都采用了 AES256 安全傳輸，防止中間人嗅探及攻擊。

四、關于 Splashtop 安全遠程桌面

Splashtop 安全遠程訪問產品是企業級遠程桌面產品，它具有高性能、高安全、多功能的特點，廣受世界500強企業的信賴，適用于遠程辦公、遠程技術支持等多種場景，被廣泛應用于金融、制造、娛樂與多媒體、IT服務、教育、政府等領域。