高校遭受網絡攻擊，究竟誰是幕後黑手？丨大東話安全_風聞

一、小白劇場

小白：大東大東，我聽説最近某高校遭遇了境外網絡攻擊，你知道這事兒嗎？

大東：當然知道啦！

小白：東哥，那這到底是怎麼一回事呢？

大東：此次事件是境外黑客組織與不法分子進行的一次網絡攻擊行動，意圖獲取該校的機密數據。

黑客攻擊（圖片來自網絡）

小白：太可怕了！東哥，你能給我詳細説説嗎？

二、話説事件

大東：2022年4月，公安局接到該校報警稱，校內許多教職工的個人電腦遭受到了網絡攻擊，同時，校內郵件系統收到了一系列的釣魚郵件。

小白：東哥，什麼是釣魚郵件呀？

大東：顧名思義，釣魚郵件通常會進行偽裝，通過郵件鏈接誘導收件人進入特製的網頁，這些網頁表面看不出和真實網站有什麼區別，比如鏈接到偽裝的銀行網站，會通過讓登錄者輸入銀行卡號、賬户名稱、密碼的方式來盜取用户個人信息。

小白：原來我們就是黑客眼中的“魚”呀！

大東：是的，切記儘量避免直接點擊郵件中的網絡連接，涉及輸入自己隱私信息的郵件要謹慎對待。

小白：我記着了東哥，那這次攻擊事件中，釣魚郵件具體是怎麼偽裝的呢？

大東：這些郵件偽裝成科研評估、答辯邀約、出國通知等，其中包含木馬程序，誘騙學生和老師點擊鏈接，一旦點擊鏈接，學生和老師的郵箱登錄權限就落入黑客手中，並帶來相關郵件資料泄露的風險。

小白：東哥，木馬程序是什麼東西？

大東：木馬程序是黑客用於遠程控制電腦的程序。平時我們説的電腦“中了木馬”，就是指安裝了木馬的服務端程序，在安裝了木馬之後，則擁有相應客户端的黑客就可以在計算機網絡的基礎上控制電腦了。

小白：木馬具體可以對我們的電腦做出什麼樣的破壞呢？

大東：木馬程序可以遠程實現破壞文件，發送用户密碼以及記錄用户鍵盤操作等。木馬病毒一般隱藏在正常程序中，隱蔽性非常強。

小白：太狡猾了！真是防不勝防呀！

木馬病毒（圖片來自網絡）

大東：確實狡猾。

小白：東哥，你可以給我講講木馬的原理嗎？

大東：可以呀。木馬病毒一般基於客户端和服務端的TCP/UDP連接。攻擊者控制的是相應的客户端程序，客户端可以發出控制命令，接收服務端傳來的信息，而木馬程序則安裝在服務器端。

木馬病毒運行原理（圖片來自網絡）

小白：木馬程序是怎麼工作的呢？

大東：首先，黑客將木馬程序偷偷植入用户電腦中。接着，在服務器端開啓特定端口，以此實施監控。黑客控制的客户端向該端口發送請求收到請求後，安裝有木馬程序的服務端即可與客户端建立連接。

小白：好一個“裏應外合”呀！

大東：小白，知己知彼方能百戰不殆。你想知道木馬的攻擊步驟嗎？

小白：東哥，你快説給我聽聽！

大東：首先，攻擊者需要配置木馬。一般而言，一個設計成熟的木馬都有木馬配置程序，主要是為了實現木馬偽裝以及信息反饋的功能。

小白：東哥，你説的木馬偽裝是什麼？

大東：木馬偽裝是木馬程序為了將服務端隱藏起來而採取的偽裝手段，例如修改圖標、捆綁文件、自定義端口等。

小白：木馬程序真像狐狸一樣狡猾！

大東：下一步，攻擊者將進行木馬病毒的傳播。

小白：東哥，木馬是怎麼傳播的呢？

大東：木馬的傳播方式主要有兩種，第一，正如本次網絡攻擊，黑客將木馬病毒附在郵件的附件裏，一旦收件人打開了附件，病毒便會移植到用户電腦中；第二，在一些不正規的軟件下載網站裏，黑客將木馬病毒捆綁在軟件安裝程序中，用户安裝並運行了帶這些軟件後，木馬病毒就會自動在用户本地進行安裝。

小白：傳播的途徑真廣泛，一不小心就掉進黑客的陷阱裏了！

大東：木馬程序傳播後，黑客緊接着就會啓動木馬程序，木馬的啓動分為主動和被動兩種方式。

小白：東哥，這兩種方式具體是怎麼做的呢？

大東：被動方式較為簡單，只需要等待木馬或捆綁木馬的程序運行即可。大部分的木馬採用主動啓動方式，它們將自己拷貝到系統文件夾中，然後在非啓動組中寫入註冊表啓動組，並且設置觸發條件，從而完成木馬的安裝。

小白：那之後呢？

大東：接下來要做的就是建立連接。建立一個木馬連接必須滿足兩個條件，第一，木馬程序已經安裝在服務器端；第二，控制端和服務器端都應該接入網絡。

小白：滿足了上述條件之後應該怎麼做呢？

大東：客户端可以在此基礎上與服務器端建立連接。客户端可以根據事先配置好的服務器地址與端口建立連接，也可以根據服務器端主動發送的消息，獲得服務器端的地址和端口，進而建立連接。

小白：連接建立後就可以進行攻擊了嗎？

大東：是的。完成了前面的步驟之後，黑客就可以對被控的服務器端為所欲為了。

小白：東哥，聽你這麼一解説，我對木馬病毒的瞭解更加深入了！話説，這木馬病毒如此狡猾，此次境外網絡攻擊事件有造成嚴重的危害嗎？

三、大話始末

大東：當然。上述發送釣魚郵件並發動網絡攻擊的行為，對校內信息系統及師生重要數據造成重大安全威脅。公安局接警後立即組織網安大隊開展調查取證，初步掌握了相關事實，並依法提取了木馬程序樣本和釣魚郵件，對相關證據進行了固定。

小白：還好警察叔叔的行動夠快，網絡安全無小事！

大東：目前，公安局已對此案立案偵查，依據《中華人民共和國刑法》第285條規定，對提取的木馬病毒、釣魚郵件樣本進一步開展技術分析工作。初步判斷，此次網絡攻擊是由黑客組織和境外不法分子實施的。

小白：提升高校應對網絡安全問題的能力刻不容緩呀！

大東：是的，不僅僅是在高校，在一些特殊的領域，例如政治、軍事、金融和交通等，利用網絡攻擊獲取信息或者進行破壞屢見不鮮，網絡攻擊已經成為了一個沒有硝煙的戰場。

四、小白內心説

小白：東哥，木馬攻擊真是危險又狡猾，作為用户，我們有什麼防護措施嗎？

大東：當然有的，我給你説幾點應對木馬攻擊的方法吧！

小白：東哥，我洗耳恭聽。

大東：首先，作為用户我們可以刪除可疑程序。對於非系統的程序，如果沒有必要，完全可以刪除，如果沒有把握，可以藉助一些查殺工具來偵測。

小白：這個方法聽起來很有用，我的電腦裏就總是有一些捆綁下載的程序，不僅存在風險，還佔內存。我趕緊拿小本本記下來！

大東：其次，我們可以通過檢測端口的方式防範木馬病毒。我們需要了解電腦使用了哪些端口，開啓的端口是否正常。另外可以重點關注端口的數據交換情況，若發現了數據交換異常頻繁的端口，則考慮關閉它。

小白：切斷木馬“裏應外合”的通道，讓木馬無法攻擊我們的電腦！

大東：此外，我們還可以安裝防火牆軟件。防火牆在計算機系統中起着十分重要的作用，它可以根據用户的需求對數據進行控制，避免不必要的數據流通，並且保護計算機的安全通道，對防範和攔截電腦病毒起到很好的幫助作用。

小白：防火牆為我們的網絡安全保駕護航！

大東：除此之外，養成良好的上網習慣也可以防範木馬病毒的入侵。例如下載軟件時儘量到正規的網站進行下載，在安裝或打開來歷不明的文件前先進行殺毒；其次是陌生人通過QQ發送鏈接時，儘量不打開，要保持警惕。

小白：我明白了東哥！對於計算機系統的各個賬號我也儘量設置口令，並且及時刪除或禁用過期賬號。

大東：對的，小白悟性不錯。

小白：瞭解了這些網安知識，我們就能更好的保護自己的電腦了，再狡猾的電腦病毒我們也不用怕的。

大東：小白，此言差矣。隨着互聯網的發展，各種計算機病毒層出不窮，攻擊方式也多種多樣，所謂道高一尺魔高一丈，我們仍需嚴加防範呀！

參考資料：

1. 木馬病毒 百度百科 https://baike.baidu.com/item/%E6%9C%A8%E9%A9%AC%E7%97%85%E6%AF%92/333298#8

2. 什麼是木馬程序 https://zhuanlan.zhihu.com/p/24749396

3. 網絡安全之木馬的工作原理及其攻擊步驟https://weibo.com/2803301701/Lz0YxfXbI?ref=home&rid=11_0_1_6558566106406808785_0_0_0

4. 黑客的入侵方式你知道幾種？https://blog.csdn.net/qq_45697116/article/details/124358863

5. 釣魚郵件 百度百科https://baike.baidu.com/item/%E9%92%93%E9%B1%BC%E9%82%AE%E4%BB%B6/4906782

6. 如何防範病毒或木馬的攻擊 https://xxs.tjut.edu.cn/info/9401/58281.htm

來源：中國科學院信息工程研究所