Splasthop 安全远程访问帮助企业对抗 Cobalt Strike 载荷网络攻击

一、背景

根据 FreeBuf(标题为:潜藏系统2个月未被发现,新型网络攻击瞄准中国高价值目标)和 The Hacker News(标题为:New Cyberattack Targets Chinese-Speaking Businesses with Cobalt Strike Payloads)的报道,近期,针对中文企业的新一轮网络攻击活动引起了广泛关注。攻击者使用了Cobalt Strike 载荷,针对特定目标进行了精确打击。Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在报告中指出,攻击者设法在系统内横向移动,建立持久性,并在两个多月的时间里未被发现。

攻击开始于恶意的 ZIP 文件,当这些文件被解压缩时,会激活感染链,导致在被攻击的系统上部署后开发工具包。攻击者通过发送精心设计的钓鱼邮件,诱导受害者下载并执行恶意文件,从而启动感染链。研究人员强调,鉴于诱饵文件中使用的语言,与中国相关的商业或政府部门很可能是其特定的目标。尤其是那些雇佣了遵守“远程控制软件规定”的人员的公司,通常被认为具有较高的商业价值和数据价值,吸引了攻击者的注意。

二、防止 Cobalt Strike 载荷攻击的一般措施

为了有效防止 Cobalt Strike 载荷攻击,需要企业采取更加全面的安全措施:

1、端点检测与响应 (EDR):部署高级的端点安全解决方案,这些工具能够检测和阻止 Cobalt Strike 载荷的执行和活动。

2、网络流量监控:利用网络监控工具检测可疑的网络行为,尤其是与 Cobalt Strike 的命令与控制 (C2) 通信相关的流量。

3、访问控制和最小权限:严格控制远程访问权限,确保只有必要的用户和设备能够访问关键系统。

4、定期安全更新:保持操作系统、应用程序和远程访问工具的及时更新,以修补已知的漏洞。

5、用户培训:定期进行安全意识培训,教育用户如何识别钓鱼攻击和其他社工攻击,防止初始感染。

6、多层防御:结合使用防火墙、入侵检测和防御系统 (IDS/IPS) 等其他安全工具,形成多层次的防御机制。

三、使用 Splashtop 防止 Cobalt Strike 载荷攻击的一些实践建议

使用 Splashtop 安全远程访问能够在一定程度上防止 Cobalt Strike 载荷攻击并缩小攻击所带来的影响,下面是一些具体的原理说明及实践建议。

1、网络分段及关键业务隔离

从 Cobalt Strike 攻击的原理来说,它首先感染一些易感染的机器,譬如那些需要经常移动办公、需要经常处理文件拷贝、邮件等等。然后,通过横向移动,进一步感染网络内其他节点,并获取企业敏感数据或者发起其他攻击。

针对这个行为,我们可以对这些易感染的机器和企业关键业务相关机器进行网络隔离,在企业关键业务机器网络设置严格的防火墙规则、入侵检测和防御系统(IDS/IPS),并使用 Splashtop 安全远程访问产品从这些易感染的机器访问关键业务机器及服务。

因为 Splashtop 安全远程桌面是基于流媒体的私有远程桌面协议,它本身不会突破网络区隔,因此,能够有效防止攻击的横向移动,缩小攻击面。

2、身份及设备验证

Splashtop 安全远程访问提供了多种身份及设备验证机制,能够有效地控制访问的设备的可信度:

  • AD、SSO 等账号集成选项

  • 设备验证

  • 多因素验证

3、严格的访问权限控制

Splashtop 安全远程访问提供了精细化权限管理功能,帮助企业实现最小化授权:

  • 用户访问设备授权:用户仅能访问被授权的机器。

  • 功能精细化控制:对访问中的功能进行控制,譬如文件传输等。

4、端到端数据加密

Splashtop 安全远程访问的数据传输都采用了 AES256 安全传输,防止中间人嗅探及攻击。

四、关于 Splashtop 安全远程桌面

Splashtop 安全远程访问产品是企业级远程桌面产品,它具有高性能、高安全、多功能的特点,广受世界500强企业的信赖,适用于远程办公、远程技术支持等多种场景,被广泛应用于金融、制造、娱乐与多媒体、IT服务、教育、政府等领域。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/416648.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

『功能项目』项目优化【21】

我们打开上一篇20主角身旁召唤/隐藏坐骑的项目, 本章要做的事情如以下几点: 1.优化资源包Resources下的层级分类 2.优化脚本包Scripts下的脚本分类 3.地形Terrain的优化(只让主角点击地面移动跳过其他石头山树等其他物体) 首…

Windows系统下的Spark环境配置

一:Spark的介绍 Apache Spark 是一个开源的分布式大数据处理引擎,它提供了一整套开发API,包括流计算和机器学习。Spark 支持批处理和流处理,其显著特点是能够在内存中进行迭代计算,从而加快数据处理速度。尽管 Spark …

Lua 代码编码规范

lua代码格式 vscode stylua 插件 配置文件stylua.toml column_width 240 line_endings “Unix” indent_type “Spaces” --使用空格 很重要,保证不同编辑器打开是一样的 indent_width 4 quote_style “AutoPreferDouble” --字符串引号样式双引号 call_paren…

0.3 学习Stm32经历过的磨难

文章目录 用库函数传参 能否按位或STM32库函数XXX_GetFlagStatus和XXX_GetITStatus的区别关于MDK导入文件后报错 Browse information of one files is not available 用库函数传参 能否按位或 答案是看清况,而不是一股脑的写!(血泪的经验啊&…

以太网通信之UDP

免责声明: 本文所提供的信息和内容仅供参考。作者对本文内容的准确性、完整性、及时性或适用性不作任何明示或暗示的保证。在任何情况下,作者不对因使用本文内容而导致的任何直接或间接损失承担责任,包括但不限于数据丢失、业务中断或其他经济…

DML、DQL、DCL的基础介绍

1.DML、DQL、DCL 1.1DML-介绍 DML英文全称Data Manipulation Language(数据操作语言),用来对数据库中表的数据记录进行增删改操作 添加数据(INSERT)修改数据(UPDATE)删除数据(DEL…

github中action作用和讲解

1,简介 GitHub Actions 是 GitHub 的一个自动化功能,它允许你在 GitHub 仓库中自动执行软件开发工作流程。你可以使用 GitHub Actions 来执行各种任务,比如: 自动测试:每当代码被推送到仓库时,自动运行测试…

SpringBoot2:RESTFUL风格接口开发及源码解读

一、RESTFUL简介 Rest风格支持(使用HTTP请求方式,动词来表示对资源的操作) 以前:/getUser 获取用户 /deleteUser 删除用户 /editUser 修改用户 /saveUser 保存用户 现在: /user GET-获取用户 DELETE-删除用户 PUT-修改…

开源vscode AI插件

1、twinny - AI Code Completion and Chat 2、Continue - Codestral, Claude, and more 3、Cody: AI Coding Assistant with Autocomplete & Ch

报错:java:程序包org.springframework.boot不存在

Date: 2024.08.31 18:01:20 author: lijianzhan 简述:关于java:程序包org.springframework.boot不存在问题如何进行修复。 操作如下: 点击左侧菜单栏选择设置,弹框内选择构建,执行,部署----->构建工具点击Maven按键&#xf…

Kafka-设计原理

ControllerLeader - PartitionRebalance消息发布机制HW与LEO日志分段 Controller Kafka核心总控制器Controller:在Kafka集群中会有一个或者多个broker,其中有一个broker会被选举为控制器(Kafka Controller),它负责管理…

Java的IO模型详解-BIO,NIO,AIO

文章目录 一、BIO相关知识读写模型BIO 概述BIO 特点BIO 实现示例服务器端客户端 二、NIO相关知识点读写模型NIO 核心概念NIO 特点NIO 实现示例服务器端客户端 三、AIO相关知识读写模型AIO 概念AIO 组件AIO 特点AIO 实现示例服务器端客户端 总结 一、BIO相关知识 Java 的 BIO (…

从0开始学杂项 第八期:流量分析(2) 数据提取

Misc 学习(八) - 流量分析:数据提取 这一期,我们主要写一下如何进行比较繁多的数据的提取。 使用 Tshark 批量提取数据 有时候,我们会需要从多个包中提取数据,然后再进行截取和组合,比如分析…

人机环境系统智能与Petri网

人机环境系统工程是一门新兴的交叉学科,它以人、机、环境为系统,研究系统整体的优化。而 Petri 网是一种用于描述和分析系统动态行为的图形化建模工具。 在人机环境系统中,智能体现在人、机、环境三个要素之间的相互作用和协同工作。人的智能…

嵌入式24千兆电口+4万兆光口管理型三层交换机RTL9301模块

核心模块概述: 嵌入式RTL9301模块可以支持4口万兆上联24口千兆三层管理型以太网交换机,也就是最多可以提供24个10/100/1000自适应电口、4个10 Gb SFP 端口、1个console口、1个USB串口。 完善的安全控制策略及CPU保护策略(CPU protect policy)提高容错能力&#xff0…

振动分析-25-频域分析之深入理解包络分析的计算过程

1 拍和幅值调制的区别 1.1 拍的现象 当两个幅值和频率相近的简谐波进行叠加时,会出现幅值忽高忽低的现象,也就是所谓的“拍”现象,但它又不同于幅值调制,虽然在时域上表现相同:都是幅值忽高忽低,但二者有着本质的区别。 当同方向的两个频率相差不大的简谐波叠加时,叠…

QT 信号和槽

效果 代码 在窗体的头文件中定义信号函数,注意只定义不实现 信号的返回值类型都是 void 后面是函数名() 槽函数可以有参数。一定要实现 //信号和槽函数绑定 connect(ui->btnSignalsSlots,SIGNAL(clicked()),this, SLOT(ViewSlot())); connect()函数是一个…

【unity实战】利用Root Motion+Blend Tree+Input System+Cinemachine制作一个简单的角色控制器

文章目录 前言动画设置Blend Tree配置角色添加刚体和碰撞体代码控制人物移动那么我们接下来调整一下相机的视角效果参考完结 前言 Input System知识参考: 【推荐100个unity插件之18】Unity 新版输入系统Input System的使用,看这篇就够了 Cinemachine虚…

Burp Suite Professional 2024.8 for macOS x64 ARM64 - 领先的 Web 渗透测试软件

Burp Suite Professional 2024.8 for macOS x64 & ARM64 - 领先的 Web 渗透测试软件 世界排名第一的 Web 渗透测试工具包 请访问原文链接:https://sysin.org/blog/burp-suite-pro-mac/,查看最新版。原创作品,转载请保留出处。 作者主页…

vivado 创建时间约束1

步骤3:创建时间约束 在此步骤中,您打开合成的设计并使用AMD Vivado™定时约束 男巫定时约束向导分析门级网表并发现缺失 约束。使用“定时约束”向导为此设计生成约束。 1.在“流导航器”中,单击“打开综合设计”。 2.当综合设计打开时&#…