给黑客30分钟，他能对你的办公电脑做什么

如果你是一名负责企业内网安全的人，下面这两段话可能会让你心中一紧~

对于一个职业黑客，在高级木马激活的状态下，他只要拿到一台PC，就完全有能力在 30 分钟内搞到这台 PC 服务器的账号和密码，还有PC上所存储的 IP 段和应用系统，接下来，他还可以基于 IPC 去做扫描和渗透排测，从而发现企业中的很多问题。

如果再给黑客 60 分钟呢？

他可以继续拿掉企业中更多带有漏洞的服务器，比如那些使用同一账号密码的服务器，当多台服务器都被他掌控于手掌中时，他就可以把更多的恶意样本传到这些服务器上，进行大规模攻击。

上面这两段话出自腾讯企业 IT 部安全运营中心的总监蔡晨之口。

蔡晨

作为腾讯企业内网安全的“大管家”，蔡晨每天一睁眼就要面临 10 万台 PC 和 18 万台移动端的“安保”任务，只要一台 PC 出问题，整个庞大的内网可能都会因此面临严峻的安全挑战。

近日，在第10届中国云计算大会的“云计算与大数据安全专题论坛”中，蔡晨分享了腾讯企业内网所面临的安全威胁和多年来他们所总结出的应对策略。

换句话说，这是一位拥有 13 年驾照的的老司机所传授的“爬坑指南”，他“如数家珍”地把平常会面临的以及踩过的坑展示出来，然后还分享了如何从坑中爬出的战斗经验。

经久不衰的钓鱼邮件

堡垒最容易从内部被攻破，蔡晨把针对企业内部员工的钓鱼邮件视为第一大威胁。

与广告邮件和垃圾邮件不同，钓鱼邮件往往是针对HR、财务、高管等高价值人员，这种经典的攻击手法之所以多年来经久不衰，原因有两点：

1.黑客很容易搞到目标对象的邮箱，比如 HR 的邮箱即使对于普通人而言也很容易搜到；

2.这种邮件可以依照目标对象的身份进行精准的投递，比如把带有木马的简历链接直接发到 HR 的邮箱中，把名为报销票据的链接发到财务人员的邮箱中，对方很容易中招。

近年来，很多企业员工中招勒索病毒正是通过钓鱼邮件，据蔡晨介绍，早在 Wannacry 和 Petya 爆发之前的一年，一个名为 locky 的勒索病毒就已经光顾过腾讯的内网了。

黑客向受害者邮箱发送带有恶意 word 文档的邮件，word 文档中包含有黑客精心构造的恶意宏代码，受害者打开 word 文档并运行宏代码后，主机会主动连接指定的 web 服务器，下载 locky 恶意软件到本地 Temp 目录下，并强制执行。locky 恶意代码被加载执行后，主动连接黑客 C&C 服务器，执行上传本机信息，下载加密公钥。

此时，locky 开始遍历本地所有磁盘和文件夹，找到特定后缀的文件，将其加密成“.locky”的文件，加密完成后生成勒索提示文件。只要打开黑客发送的邮件附件或链接，最短只需要几分钟的时间，员工电脑中的众多文档和文件就会被加上不可逆的密码，那时，由于勒索病毒并不普及，出现第一波的时候，各家企业还没有做好防御的措施，导致不少企业中招。

当时，在某宝上竟然还出现了公开出售 locky 解密密钥的店铺，可想而知中招的企业其实并不在少数。

此外，黑客还可以通过钓鱼邮件植入比较高级的后门，一个名为“Adwind”的高级木马家族就曾持续对腾讯进行定点的钓鱼攻击，而且针对的都是高管、财务等重要岗位，由于是根据目标对象的身份而发送不同的邮件，使得相关人员大概率的会进行点击。

Adwind 以其很强的跨平台适应性而闻名，而且具有多种攻击功能，包括收集用户键盘输入内容、窃取缓存的密码、从网页表单中抓取数据、截屏、通过网络摄像头拍照和录制视频、通过麦克风录音、传输文件、收集系统和用户信息、窃取加密货币钱包密匙、管理手机短息以及窃取 VPN 证书。

据蔡晨介绍，这两种钓鱼方式其实并不只针对腾讯，但是作为国内体量最大的互联网公司之一，他们经常是最早一波受到攻击的企业之一，如果做不好防御措施，后果可想而知。

军工木马平民化

除钓鱼邮件的攻击外，近年来越来越盛行的军工类高级木马也成为重要威胁之一。

打个比方，之前这些木马只是国家之间进行攻击时所使用，而现在，它走向了平民化，这就犹如越来越多的平民手中也有了能造成巨大杀伤力的核武器。

相比于平常我们所见到的挖矿、勒索、蠕虫类的广谱木马，军工级木马完美诠释了什么叫“人狠话不多”。

蔡晨介绍，近两年一些高价值的漏洞，甚至是一些从来没有被公开的漏洞正在互联网上进行开放，通过腾讯内网安全团队与腾讯电脑管家团队、以及安全平台部的一些厂家合作进行的研究，它们发现很多对企业边界穿透力非常强的DNS隧道木马。

比如，去年对整个行业影响比很大的 Xshell 供应链式木马。

2017年8月，NetSarang 系列软件的关键网络通信组件 nssock2.dll 被植入了恶意代码，厂商在发布软件时并未发现恶意代码，并给感染组件打上了合法的数字签名随新版软件包一起发布。

用户机器一旦启动软件，将会加载组件中的恶意代码，将主机的用户信息通过特定 DGA （域名生成算法）产生的 DNS 域名传送至黑客的远程命令控制服务器，同时黑客的服务器会动态下发任意的恶意代码至用户机器执行。

这造成的后果是，一些开发人员以为他们只是从互联网上下载了一个普通的运维工具进行软件的开发，但一开始这个工具就是被植入过后门的，这个后门在通过 DNS 隧道进行启发激活后，能进行远端操控，这两年，这种植入方式是越来越普遍。

由于该系列软件在国内的程序员和运维开发人员中被广泛使用，多用于管理企事业单位的重要服务器资产，所以黑客极有可能进一步窃取用户所管理的服务器身份验证信息，秘密入侵相关机构窃取数据。

与普通的木马相比，军工级木马的启动方式、隐藏方式、抗检测能力都非常出众，而且功能很全，不仅可以绕过市面上绝大多数的杀软检测，而且对于内网的穿透力非常强。

俗话说，不怕贼偷，就怕贼惦记，这种军工级的木马不仅攻击能力强，而且隐蔽性好，很多企业虽然中招了，但自己却感知不到。

与发现攻击相比，这种状况才是安全人员的噩梦。

云上的高可见和极速处置

对于攻击能力强，隐藏能力更强的黑客攻击来说，摆在安全研究人员面前的第一要事是先发现它。

蔡晨告诉宅客频道，安全数据的“高可见”一直是他们近年来努力的方向和目标，如果跟黑客对抗，你都看不到它，那你相当于跟它不在一个维度上，它一定会打败你。

安全数据的高可见有两个维度，一是数据够不够广，我们会把终端、内网的所有数据，包括所有的应用系统，还有帐号类的数据全部归结在一起，腾讯一天内网有400亿规模的数据，数据类型大概200多类，你只有把这些数据放到自己的眼皮底下，才会发现黑客到底动没动它。

还有一个维度就是数据的深度，比如，Adwind 木马家族所开发的木马是没有文件的，它会直接感染到内存中，如果防御监控还停留在文件级是看不到它的，这时候需要把终端的监控下沉到进程 API 的级别，看木马注入到哪个层面进行 API 调用。

再比如前文所提到的 XShell DNS 接受指令的方式，通常安全人员看的是 tcp、http 等连接，但是 DNS 对大多数企业来说，53 UDP通讯不会有相应的检测规则，当黑客用这种武器对抗的时候，普通的安全防御根本没有办法发现黑客的存在。

第二是遇到紧急的情况，或者是安全危机的情况下，一定要有极速处置的能力，第一时间把风险隔离掉。

当收集了大量的数据后，就要解决如何对企业安全人员形成可见效应的问题。

对于安全人员而言，要想第一时间发现安全事件，还要依赖于强大的后台去支撑大量的数据运算和机器学习，即对于海量的数据进行行为分析，通过大量的规则检测模型得出的结果。

根据分析的结果，他们会把安全事件分为高中低三个风险级别，安全人员可以有序地对这些事件进行风险的处置、隔离，或者是进一步排查，如果有必要，还要进行溯源工作。

但是攻击者留给他们的时间并不多，正像文章开头所述，一个职业黑客通过钓鱼等方式植入高级木马后，半小时就可以拿到很多公司的关键信息，安全人员只有在这段时间内对这些风险进行处置或隔离清理，才能在接下来的一两天内赢得足够的时间追查这些黑客、病毒木马是怎么进来的，或者是信息是怎么泄露出去的，然后再进行溯源相关的工作。

由于有海量的数据进行运算分析会占据设备的部分资源，有可能会对业务有影响。而要保证安全前提下的企业高效办公体验，云端部署的灵活性尤为重要，蔡晨的方案是将公有云的轻量化管理与私有云的大数据采集分析有效结合为混合云，与各终端形成协同联动，来达到云管云控的目的。目前，他们针对内网的PC和移动端均有轻量的客户端安全产品。

长按下图二维码并识别关注