疫情期間��,隨著各個公司開始實行遠程辦公����,遠程工具也“出圈”了��,成為大家熟知的實用工具��。但是你可能不知道,這個實用的工具如果被黑客非法利用����,就會變成風險性極高的“遠控木馬”��。目前,越來越多的黑客開始利用合法商業軟件進行“非法操作“�,以此來躲避安全軟件的查殺���。針對這種情況�����,火絨安全軟件新增了可以攔截【遠程控制工具】以及【風險工具】的功能,可以保護用戶不受此類合法軟件“非法利用”的攻擊���。
近日就有用戶向火絨求助,稱電腦被人遠程操控���。經火絨工程師查看現場發現,該用戶電腦在不知情的情況下���,被安裝了兩款遠程工具�,且可以在后臺靜默啟動。
在用戶電腦中發現遠控工具
在火絨工程師鎖定了被安裝的時間后,用戶回憶當天曾在微信上接收過陌生人發送的文件,隨后電腦就受到了遠程操控?����?梢曰敬_定��,當時陌生人發送的文件��,實際上就是被非法修改過的遠程工具。
“遠程工具”(TeamViewer�����、向日葵等)是常見的被利用軟件之一��。黑客通常會將修改過的遠程工具二次打包或制作成自解壓文件�,通過修改軟件名�、文件圖標等進行偽裝,誘導用戶運行����。除了“遠程工具”外�,風險性更高的“ARK工具”(PowerTool���、Processhacker等)和“外網滲透工具”(Mimikatz�����、PortScan等)也備受黑客的“青睞”���。因為這兩類工具在系統內權限較高����,可以用來對抗安全軟件����,經常被黑客利用在勒索攻擊中。
上述此類合法的商業軟件��,設計之初是為了給有需求的用戶在特定場景下使用�。但由于其特殊的功能,往往會被別有用心之人用來攻擊他人���。安全廠商為了避免誤報,不會對合法的商業軟件報毒���,即使這類軟件具有風險性。所以當黑客非法利用這些合法軟件時����,反而具有更嚴重的危害���。
火絨安全軟件【程序執行控制】中���,新增了可以攔截“遠程工具”的【遠程控制工具】功能�,以及可以攔截“ARK工具”和“外網滲透工具”的【風險工具】功能���?����?梢杂行Х乐惯@些合法工具被“非法利用”的行為�����,從源頭保護用戶的主機安全����。同時又給了對上述工具有實際使用需求的用戶,安全管控的選擇。
適用用戶及場景:
1���、普通用戶日常不會使用這類工具,可以直接打開該功能,將此類工具攔截,從而規避合法工具被“非法利用”的風險。
2�、對這類工具有使用需求的用戶��,可以在非使用時段打開該攔截功能,配合火絨的密碼保護功能����,
對這類工具進行有效的安全管控��。
使用功能步驟:
程序控制-【遠程控制工具】和【風險工具】開啟方式:
打開火絨-訪問控制-點擊【程序執行控制】-找到【遠程控制工具】及【風險工具】,打開攔截按鈕即可����。
【密碼保護】開啟方式:
打開火絨-訪問控制-點擊【密碼保護】-選擇【開啟密碼保護】��,設置密碼以及保護范圍即可。
附:
【ARK工具】
指的是Anti-Rootkit���,反內核工具。
此類工具的使用目的�����,多是處理與Rootkit相關的問題��,因為此類病毒多有內核級權限�����,所以ARK工具也需要有相應的權限才可以進行處理。
【內網滲透工具】
多是有以下功能的軟件:
Windows憑據獲取(包括windows賬戶密碼�����、憑據等)���。
內網信息獲取工具(如域環境獲取��、共享信息獲取�、端口掃描等)�。
可關閉windows功能的工具(如關閉windows Defender)。
橫向移動工具(例如遠程執行程序�����、添加服務的程序)��。
