给黑客30分钟能对你的办公电脑做什么

如果你是一名负责企业内网安全的人，下面这两段话可能会让你心中一紧~

对于一个职业黑客，在高级木马激活的状态下，他只要拿到一台PC，就完全有能力在 30 分钟内搞到这台 PC 服务器的账号和密码，还有PC上所存储的 IP 段和应用系统，接下来，他还可以基于 IPC 去做扫描和渗透排测，从而发现企业中的很多问题。

如果再给黑客 60 分钟呢？

他可以继续拿掉企业中更多带有漏洞的服务器，长沙SEO优化，长沙网络推广，长沙网站建设，长沙seo排名，长沙seo推广，比如那些使用同一账号密码的服务器，当多台服务器都被他掌控于手掌中时，他就可以把更多的恶意样本传到这些服务器上，进行大规模攻击。

上面这两段话出自腾讯企业 IT 部安全运营中心的总监蔡晨之口。

▲蔡晨

作为腾讯企业内网安全的“大管家”，蔡晨每天一睁眼就要面临 10 万台 PC 和 18 万台移动端的“安保”任务，只要一台 PC 出问题，整个庞大的内网可能都会面临严峻的安全挑战。

近日，在第10届中国云计算大会的“云计算与大数据安全专题论坛”中，蔡晨分享了腾讯企业内网所面临的安全威胁和多年来他们所出的应对策略。

换句话说，这是一位拥有 13 年驾照的的老司机所传授的“爬坑指南”，他“如数家珍”地把平常会面临的以及踩过的坑展示出来，然后还分享了如何从坑中爬出的战斗经验。

经久不衰的钓鱼邮件

堡垒最容易从内部被攻破，蔡晨把针对企业内部员工的钓鱼邮件视为第一大威胁。

与广告邮件和垃圾邮件不同，钓鱼邮件往往是针对HR、财务、高管等高价值人员，这种经典的攻击手法之所以多年来经久不衰，原因有两点

1.黑客很容易搞到目标对象的邮箱，比如 HR 的邮箱即使对于普通人而言也很容易搜到；

2.这种邮件可以依照目标对象的身份进行精准的投递，比如把带有木马的简历链接直接发到 HR 的邮箱中，把名为报销票据的链接发到财务人员的邮箱中，对方很容易中招。近年来，很多企业员工中招勒索病毒正是通过钓鱼邮件，据蔡晨介绍，早在 Wannacry 和 Petya 爆发之前的一年，一个名为 locky 的勒索病毒就已经光顾过腾讯的内网了。

黑客向受害者邮箱发送带有恶意 word 文档的邮件，word 文档中包含有黑客精心构造的恶意宏代码，受害者打开 word 文档并运行宏代码后，主机会主动连接指定的 web 服务器，下载 locky 恶意软件到本地 Temp 目录下，并强制执行。locky 恶意代码被加载执行后，主动连接黑客 C&C 服务器，执行上传本机信息，下载加密公钥。

此时，locky 开始遍历本地所有磁盘和文件夹，找到特定后缀的文件，将其加密成“.locky”的文件，加密完成后生成勒索提示文件。只要打开黑客发送的邮件附件或链接，最短只需要几分钟的时间，员工电脑中的众多文档和文件就会被加上不可逆的密码，那时，由于勒索病毒并不普及，出现第一波的时候，各家企业还没有做好防御的措施，导致不少企业中招。

当时，在某宝上竟然还出现了公开出售 locky 解密密钥的店铺，可想而知中招的企业其实并不在少数。

，黑客还可以通过钓鱼邮件植入比较高级的后门，一个名为“Adwd”的高级木马家族就曾持续对腾讯进行定点的钓鱼攻击，而且针对的都是高管、财务等重要岗位，由于是根据目标对象的身份而发送不同的邮件，使得相关人员大概率的会进行点击。

Adwd 以其很强的跨平台适应性而闻名，而且具有多种攻击功能，包括收集用户键盘输入内容、窃取缓存的密码、从网页表单中抓取数据、截屏、通过网络摄像头拍照和录制视频、通过麦克风录音、传输文件、收集系统和用户信息、窃取加密货币钱包密匙、管理手机短息以及窃取 VPN 证书。

据蔡晨介绍，这两种钓鱼方式其实并不只针对腾讯，作为国内体量最大的互联网公司之一，他们经常是最早一波受到攻击的企业之一，如果做不好防御措施，后果可想而知。军工木马平民化

除钓鱼邮件的攻击外，近年来越来越盛行的军工类高级木马也成为重要威胁之一。

打个比方，之前这些木马只是国家之间进行攻击时所使用，而现在，它走向了平民化，这就犹如越来越多的平民手中也有了能造成巨大杀伤力的核武器。

相比于平常我们所见到的挖矿、勒索、蠕虫类的广谱木马，军工级木马完美诠释了什么叫“人狠话不多”。

蔡晨介绍，近两年一些高价值的漏洞，甚至是一些从来没有被公开的漏洞正在互联网上进行开放，通过腾讯内网安全团队与腾讯电脑管家团队、以及安全平台部的一些厂家合作进行的研究，它们发现很多对企业边界穿透力非常强的DNS隧道木马。

比如，去年对整个行业影响比很大的 Xshell 供应链式木马。

2017年8月，NetSarang 系列软件的关键网络通信组件 nssock2.dll 被植入了恶意代码，厂商在发布软件时并未发现恶意代码，并给感染组件打上了合法的数字签名随新版软件包一起发布。

用户机器一旦启动软件，将会加载组件中的恶意代码，将主机的用户信息通过特定 DGA （域名生成算法）产生的 DNS 域名传送至黑客的远程命令控制服务器，黑客的服务器会动态下发任意的恶意代码至用户机器执行。

这造成的后果是，一些开发人员以为他们只是从互联网上下载了一个普通的运维工具进行软件的开发，但一开始这个工具就是被植入过后门的，长沙SEO优化，长沙网络推广，长沙网站建设，长沙seo排名，长沙seo推广，这个后门在通过 DNS 隧道进行启发激活后，能进行远端操控，这两年，这种植入方式是越来越普遍。

由于该系列软件在国内的程序员和运维开发人员中被广泛使用，多用于管理企事业单位的重要服务器资产，所以黑客极有可能进一步窃取用户所管理的服务器身份验证信息，秘密入侵相关机构窃取数据。