新一期的絨絨說安全又和大家見面了，今天我們?yōu)榇蠹医榻B下什么是跳板攻擊。

跳板攻擊是黑客入侵目標(biāo)網(wǎng)絡(luò)的一種常用手段。黑客在實(shí)施攻擊時，通常不會直接從自己的系統(tǒng)向目標(biāo)發(fā)動攻擊，而是先攻破若干中間系統(tǒng)，使之成為“跳板機(jī)”，再通過這些跳板機(jī)完成攻擊行動，這個過程就是跳板攻擊。

（注：本文中的跳板機(jī)與運(yùn)維人員常用的跳板機(jī)不同，其指已經(jīng)被黑客控制，且可以訪問內(nèi)網(wǎng)進(jìn)行橫向攻擊的肉雞）

黑客實(shí)施跳板攻擊的原因主要有兩個：一方面是跳板攻擊的匿名性比較高，且跳板機(jī)越多，溯源難度就越高；另一方面是跳板機(jī)所在的位置可能比黑客計算機(jī)所在的位置更有利，方便其深入專用網(wǎng)絡(luò)進(jìn)行后續(xù)攻擊。

例如在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，美國NSA下屬TAO攻擊了中國周邊國家的大批服務(wù)器，并控制了大量跳板機(jī)，隨后精心挑選了其中的49臺跳板機(jī)和5臺代理服務(wù)器進(jìn)行竊密行動，這些跳板機(jī)主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位于中國周邊國家，如日本、韓國等。

與上述流程類似，下面絨絨以火絨工程師幫助某企業(yè)解決的一次實(shí)際攻擊為例，為大家介紹下跳板攻擊的流程。

1、確認(rèn)目標(biāo)

黑客利用掃描工具等手段收集目標(biāo)敏感信息，找到目標(biāo)脆弱部分，準(zhǔn)備實(shí)施攻擊。

2、設(shè)計跳板

黑客利用暴破、漏洞等方式，完全遠(yuǎn)程控制一臺或多臺電腦，這些被完全遠(yuǎn)程控制的電腦也就是我們常說的肉雞。在這些肉雞中，黑客會篩選出多臺不易被發(fā)現(xiàn)的肉雞作為跳板機(jī)，為后續(xù)攻擊作準(zhǔn)備。

3、跳板入侵

（1）破壞安全環(huán)境

黑客在跳板機(jī)上卸載或關(guān)閉安全軟件、防火墻，以便植入病毒，長期維持控制權(quán)或入侵時不被攔截。

（2）上傳黑客工具

黑客在跳板機(jī)中上傳用來盜竊信息、破壞系統(tǒng)環(huán)境或完全控制電腦的惡意軟件程序。

（3）橫向攻擊并投毒

黑客利用上傳的惡意工具作進(jìn)一步橫向滲透，例如進(jìn)行獲取Windows賬戶名和密碼、掃描網(wǎng)絡(luò)內(nèi)終端以及獲取企業(yè)內(nèi)文件共享情況等操作。以便向內(nèi)網(wǎng)其他電腦投放勒索病毒、后門程序、蠕蟲病毒等高危病毒，獲取并控制高價值的目標(biāo)電腦。

4、重復(fù)攻擊

在內(nèi)網(wǎng)的其他終端上重復(fù)<跳板入侵>的3個步驟，最后利用多個跳板，對目標(biāo)機(jī)器發(fā)起攻擊。

?

此外，若企業(yè)之前存在網(wǎng)絡(luò)共享的情況，黑客還可以在入侵網(wǎng)絡(luò)內(nèi)任何一家企業(yè)后，以該企業(yè)為跳板，攻擊其它的關(guān)聯(lián)企業(yè)。一旦被攻擊的其它企業(yè)未做防護(hù)，將面臨各類安全風(fēng)險。

火絨安全解決方案

對此，火絨安全產(chǎn)品為大家提供了有針對性的防護(hù)措施，來降低跳板攻擊發(fā)生的可能性。

1. 開啟【密碼保護(hù)】功能，可以防止黑客卸載或關(guān)閉安全軟件，有效避免安全環(huán)境被破壞。

2. 開啟【程序執(zhí)行控制】功能，可限制Hacktool等具有破壞功能的惡意程序在電腦中運(yùn)行。

3. 在重要服務(wù)器開啟【遠(yuǎn)程登錄防護(hù)】功能，可根據(jù)需要在設(shè)置遠(yuǎn)程登錄IP白名單。

4. 開啟【文件實(shí)時監(jiān)控】功能，即時攔截病毒程序，實(shí)時保護(hù)用戶的終端不受病毒侵害。

5. 開啟【橫向滲透防護(hù)】功能，可及時阻斷內(nèi)網(wǎng)已存在的滲透威脅的同時，做到追本溯源，找到跳板終端。

6. 開啟【惡意行為監(jiān)控】功能后，可幫助用戶監(jiān)控程序運(yùn)行的安全性，以增強(qiáng)對終端的防護(hù)。

如今黑客攻擊事件日漸增多，用戶和企業(yè)受到網(wǎng)絡(luò)攻擊的風(fēng)險和頻率也越來越高。因此，火絨工程師為大家整理了一些預(yù)防指南，以規(guī)避類似安全事件帶來的風(fēng)險：

1. 盡量關(guān)閉不必要的端口，如：135，139，445，3389等端口；

2. 關(guān)閉不必要的文件共享，若有需要，請?jiān)O(shè)置強(qiáng)密碼訪問且禁用對共享的匿名訪問；

3. 勿隨意打開陌生郵件，謹(jǐn)慎下載陌生郵件附件，不從不明網(wǎng)站下載軟件，若非必要，應(yīng)禁止啟用Office宏代碼；

4. 建議服務(wù)器密碼使用高強(qiáng)度且無規(guī)律密碼，并定期更換密碼；

5. 對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制，對于同一網(wǎng)絡(luò)環(huán)境下的其它企業(yè)或部門，在無業(yè)務(wù)需求的情況下，進(jìn)行網(wǎng)絡(luò)隔離；

6. 及時更新系統(tǒng)和為主機(jī)打補(bǔ)丁，修復(fù)相應(yīng)的高危漏洞；

7. 使用移動存儲設(shè)備時，遵循先查殺，后使用原則；

8. 對重要文件和數(shù)據(jù)（數(shù)據(jù)庫等數(shù)據(jù)）進(jìn)行定期非本地備份；

9. 建議企業(yè)或單位統(tǒng)一部署終端安全軟件，定期升級病毒庫，全盤殺毒。

關(guān)于“火絨終端安全管理系統(tǒng)2.0”?

“火絨終端安全管理系統(tǒng)2.0”自推出以來，已覆蓋全國50多個細(xì)分行業(yè)的數(shù)萬家政企單位。該產(chǎn)品擁有的諸多實(shí)用強(qiáng)大的功能，可充分滿足企事業(yè)單位用戶在互聯(lián)網(wǎng)威脅環(huán)境下的電腦終端防護(hù)需求。產(chǎn)品近期進(jìn)一步擴(kuò)大了服務(wù)范圍，推出了Linux控制中心及終端、macOS終端版本，歡迎前往火絨安全官網(wǎng)免費(fèi)試用。