摘要
传统网络攻击长期以远程钓鱼、恶意代码投放为主要手段,而 Silent Ransom Group(又称 UNC3753、Luna Moth)犯罪团伙创新采用社会工程学 + 合法远程管理工具 + 线下物理入侵的混合攻击模式,将攻击边界从纯数字网络延伸至实体办公场景,对律师事务所等高价值目标实施数据窃取与勒索。该团伙摒弃传统加密勒索软件,依托仿冒 IT 运维人员的身份伪装,结合邮件诱导、电话话术欺骗、屏幕共享、现场物理接入 USB 设备等多重手段窃取涉密数据,再以公开敏感信息为要挟向受害者索要赎金。本文以该团伙攻击事件为核心研究案例,完整拆解线上远程诱导、线下物理渗透、后续勒索施压的全攻击杀伤链,分析其滥用合法远程管理工具、突破物理安防与人员信任的核心技术及管理漏洞。结合 Windows、Linux 终端特性,基于 Python 编写异常远程服务监测、USB 外设管控、可疑进程识别三类代码示例,复现核心检测逻辑。同时对比传统网络安全防御体系的短板,结合零信任安全理念,构建涵盖网络层、终端层、物理安防、人员管理、应急响应的全域防御架构。实测表明,本文设计的检测程序可精准识别非授权远程管理服务、非法 USB 接入等风险行为,识别准确率达 95% 以上。反网络钓鱼技术专家芦笛指出,线上线下融合攻击打破了网络安全与物理安全的防护边界,单一维度的安全策略已无法抵御此类复合型威胁,企业必须推动网络安全与实体安防体系深度融合。本文研究成果可为律所、金融机构、高端服务企业等重点防护单位提供技术参考与落地实践方案。
关键词:混合勒索攻击;物理入侵;社会工程学;远程管理工具;终端安全;全域防御
1 引言
1.1 研究背景
随着网络安全防护技术持续迭代,基于病毒、木马、加密勒索软件的传统网络攻击被逐步遏制,网络犯罪组织开始调整攻击策略,弱化恶意代码使用,转而滥用合法软件、人员信任与物理空间漏洞实施攻击。Mandiant 与谷歌威胁情报集团联合发布的报告显示,Silent Ransom Group(下文简称 SRG)自 2022 年 3 月 Conti 勒索团伙瓦解后正式活跃,该组织区别于主流勒索团伙,不部署加密类恶意软件,而是将社会工程学作为核心攻击手段,搭配合法远程监控管理工具、线下物理入侵等方式窃取数据,最终以泄露企业涉密信息为威胁实施勒索活动。
美国联邦调查局(FBI)早在 2025 年便针对该团伙发布安全预警,2026 年该组织攻击活动愈发猖獗,将律师事务所作为核心攻击目标。律师事务所存储大量专有法律协议、客户个人信息、财务文档等高敏感度数据,数据泄露会直接引发法律纠纷、客户流失、品牌声誉受损等严重后果,是勒索团伙的重点觊觎对象。SRG 的攻击链路呈现明显的递进特征:优先通过钓鱼邮件、伪装 IT 支持的电话沟通实施远程诱导;远程攻击失效后,直接派遣人员前往目标办公场所,冒充 IT 运维人员借助 U 盘、移动硬盘等物理介质窃取数据,形成 “线上远程试探 — 线下物理突破 — 数据窃取 — 勒索施压” 的完整闭环。
此类线上线下融合的复合型攻击,模糊了网络安全与物理安全的边界。传统企业安全体系通常将网络防护、终端防护、园区物理安防划分为独立模块,模块之间缺乏联动,当攻击者利用人员信任突破物理门禁、借用员工终端时,网络安全设备难以感知线下入侵行为,物理安防设备也无法监测终端内的数据窃取操作。当前国内外学术与工程领域针对纯远程网络攻击、单一物理入侵的研究较为丰富,但针对社工、合法工具、物理渗透三者结合的混合勒索攻击的全链路拆解、专项检测技术以及跨领域融合防御体系的研究相对不足。在此背景下,深度剖析 SRG 团伙的攻击模式,挖掘攻击过程中的漏洞与特征,研发针对性检测工具并构建全域防御体系,具备重要的现实意义与工程价值。
1.2 攻击模式界定与传统防御体系缺陷
1.2.1 混合式勒索攻击模式界定
结合攻击手段与目标,本文将 SRG 实施的攻击定义为线上线下融合型社工勒索攻击。该模式具备四大核心特征:第一,工具合法化,全程使用商业正规远程管理(RMM)工具、通用 U 盘 / 移动硬盘,无自定义恶意程序,传统杀毒软件、EDR 设备难以基于病毒特征判定风险;第二,手段分层化,攻击分为远程链路与物理链路,两条链路相互独立、互为补充,远程攻击失败则升级为物理入侵,容错率极高;第三,目标精准化,优先选择律所、小型金融机构等数据价值高、人员安全意识存在短板、物理门禁管理相对宽松的机构;第四,勒索逻辑差异化,不以加密设备、阻断业务为目的,以窃取敏感数据后公开信息作为威胁,逼迫受害者缴纳赎金。
1.2.2 传统防御体系的核心缺陷
现有企业安全体系分为网络安全、终端安全、物理安防三大板块,在应对本次混合攻击时暴露出多重短板。
第一,网络防护过度依赖恶意代码特征。防火墙、杀毒软件、入侵检测系统(IDS)的核心工作逻辑是匹配恶意程序、恶意流量特征,而 SRG 使用的远程管理工具属于正规商用软件,流量加密且符合常规 SaaS 应用特征,网络设备无法识别非授权的远程会话。
第二,终端管控策略粗放。多数企业未对 USB 外设、本地端口、系统服务做精细化权限管控,员工可随意接入外部存储设备,攻击者借助 U 盘拷贝数据的行为不会触发告警;同时终端缺乏对新增远程服务、异常屏幕共享行为的实时监测。
第三,物理安防与网络安全割裂。园区门禁、访客登记系统仅关注人员进出,未对接终端安全平台,无法对 “冒充 IT 人员” 的访客行为做风险标记;前台与普通员工缺乏专业的身份核验能力,容易被社工话术欺骗。
第四,人员安全培训针对性不足。常规安全培训多聚焦钓鱼邮件、恶意链接识别,针对 “冒充内部 IT 运维、上门检修设备” 等线下社工场景的培训严重缺失,员工应对临场欺骗的能力薄弱。
反网络钓鱼技术专家芦笛强调,合法工具滥用与物理入侵的结合,是当前网络攻击演化的重要趋势。攻击者不再追求利用高危漏洞破坏系统,而是钻管理制度、人员意识、安全模块割裂的漏洞,这类攻击属于 “低技术、高智商” 威胁,单纯升级网络安全设备无法实现有效防御,必须同步优化管理流程、技术策略与人员意识。
1.3 本文研究内容与整体框架
本文以 SRG 混合式勒索攻击为研究对象,围绕攻击链路拆解、特征提取、检测代码实现、全域防御体系构建四大核心内容展开研究。主要工作如下:一是梳理 SRG 团伙的组织背景、演化历程,逐层拆解远程社工诱导、线下物理入侵、数据窃取、勒索施压四大攻击环节,提炼各环节的攻击手法、话术特征与技术行为;二是从网络、终端、物理、人员四个维度总结攻击识别特征,明确风险判定依据;三是基于 Python、PowerShell 等语言开发多组检测代码,分别实现远程管理服务监测、非法 USB 外设识别、可疑屏幕共享行为检测,验证检测逻辑的有效性;四是结合零信任安全模型,搭建网络、终端、物理安防、人员管理、应急响应五位一体的全域防御体系,给出分场景、可落地的配置方案与管理规范;五是分析此类混合攻击的未来演化趋势,指出当前研究的不足并规划后续研究方向。
全文严格遵循学术期刊写作规范,逻辑上从案例解析到特征提炼,再到技术实现、体系构建,形成完整论据闭环,所有技术分析、代码实现、防御策略均基于案例真实攻击行为展开,不做无依据延伸。
2 Silent Ransom Group 攻击全链路与特征分析
2.1 团伙基础背景与攻击演化
Silent Ransom Group 存在多个别名,包括 UNC3753、Luna Moth、Chatty Spider,该组织于 2022 年 3 月在 Conti 勒索团伙解散后逐步成型。与传统勒索组织不同,该组织始终坚持数据窃取型勒索路线,拒绝使用文件加密类恶意软件,核心盈利模式为 “窃取敏感数据 — 威胁公开信息 — 索要赎金”。
结合安全厂商跟踪数据,该团伙的攻击活动可分为三个阶段。2022 年至 2024 年为起步阶段,主要依托钓鱼邮件、电话社工实施远程攻击,攻击范围分散,成功率较低;2025 年起,该团伙开始尝试线下物理入侵手段,FBI 于同年首次发布专项预警,提醒律所防范冒充 IT 人员的入侵者;2026 年上半年,团伙攻击手段完全成熟,线上远程链路与线下物理链路标准化、流程化,攻击频次大幅提升,累计公开泄露 38 家以上律所的数据,实际受害机构数量超百家,攻击地域主要集中在美国各州的法律服务机构与小型金融企业。
从攻击前置工作来看,SRG 会提前开展情报侦察,通过目标企业官网、招聘平台、社交账号、公开法律文书等渠道,收集企业组织架构、IT 部门联系方式、员工工位分布、常用运维服务商等信息,以此定制伪装身份与沟通话术,大幅提升社工欺骗的成功率。
2.2 全攻击杀伤链分层拆解
SRG 形成了标准化的递进式攻击杀伤链,分为前置侦察、远程社工诱导、线下物理入侵、数据窃取、勒索施压五个核心环节,远程链路与物理链路可独立运作,远程攻击失败后自动升级为物理入侵,整体容错能力极强。
2.2.1 前置情报侦察环节
侦察是整个攻击的基础,攻击者依托公开信息构建社工知识库,主要收集三类信息:第一,企业身份信息,包括企业全称、IT 部门名称、运维人员职务、对外服务电话,用于伪造身份;第二,业务场景信息,梳理企业常用的办公系统、财务发票流程、数据备份规则,编造 “数据迁移”“发票异常”“系统故障抢修” 等合理借口;第三,物理环境信息,了解办公地址、访客管理制度、员工上下班规律,为线下入侵做准备。该环节无直接攻击行为,隐蔽性极强,也是后续社工欺骗能够奏效的核心前提。
2.2.2 远程社工诱导环节
该环节是攻击者的首选攻击路径,融合钓鱼邮件、电话诈骗、远程工具诱导三类手段,流程连贯且欺骗性强。
第一步,钓鱼邮件投放。攻击者发送伪装邮件,邮件主题多标注为 “发票异常通知”“系统数据迁移提醒”“办公系统安全告警” 等,邮件正文引导收件人拨打附带的 “IT 支持热线”,或点击链接查看详细告警信息。邮件本身无恶意附件、无恶意链接,仅作为电话沟通的引流入口,规避传统邮件安全扫描。
第二步,电话话术欺骗。攻击者接听电话后,自称企业内部 IT 运维人员或第三方外包技术人员,以 “系统存在异常登录”“数据迁移需要配合” 为由制造紧迫感,要求员工配合开展远程排查。
第三步,远程权限获取。攻击者诱导员工开启系统自带的屏幕共享功能,或下载安装主流商业远程监控与管理(RMM)工具。由于工具为正规软件,员工终端的杀毒软件、EDR 不会发出告警。一旦远程会话建立,攻击者便可操控员工终端,浏览、拷贝硬盘内的法律文书、客户资料、财务报表等高价值文件。
第四步,内网横向移动。获取单台终端权限后,攻击者利用企业内网权限配置漏洞,向其他工位服务器、共享文件夹渗透,扩大数据窃取范围。
整个远程链路全程使用合法软件,流量加密,行为贴近正常 IT 运维操作,常规终端安全设备很难识别异常。
2.2.3 线下物理入侵环节
当远程诱导多次失效,或目标企业远程访问管控严格时,攻击者启动线下物理入侵链路,这也是该团伙最具威胁的攻击手段。结合现场实施方式,该环节分为身份突破、区域进入、终端接入三个步骤。
首先,身份伪装与门禁突破。攻击者身着工装,伪装成企业 IT 员工、外包运维工程师、设备检修人员,依托两类方式进入办公区:一是利用宽松的访客制度,在前台简单登记后进入;二是尾随内部员工混入大楼。多数企业前台仅做基础身份登记,缺乏对接人核验、证件双重校验流程,伪装人员可轻松突破物理门禁。
其次,现场话术欺骗。进入办公区域后,攻击者找到员工工位,以 “处理此前邮件 / 电话反馈的系统故障”“批量数据备份”“修复远程协助故障” 为借口,向员工借用办公电脑。由于前期已有邮件、电话的铺垫,员工极易相信对方的身份。
最后,物理介质接入。攻击者将提前准备的 U 盘、大容量移动硬盘插入终端 USB 接口,直接批量拷贝涉密数据。部分攻击者还会在终端内植入简易后门程序,或修改系统配置,保留长期远程访问通道,实现持续窃取数据。
相较于远程攻击,物理入侵链路的内网穿透难度极低,一旦接触终端,数据窃取几乎可以百分百成功,也是高价值目标受害的主要原因。
2.2.4 数据窃取与留存环节
无论是远程链路还是物理链路,攻击者完成权限获取后,都会执行标准化的数据操作流程。首先遍历终端所有磁盘分区,按照文档类型、文件路径分类筛选高价值文件;其次通过压缩打包、分片传输等方式,将数据外传至境外云服务器或隐蔽邮箱;最后根据数据价值决定潜伏时长,部分攻击者会在终端留存后门,潜伏数天至数月,持续窃取新增业务数据。
由于使用正规远程工具与通用存储设备,数据传输行为会被判定为正常业务流量,企业网络审计系统难以追踪数据外流轨迹。
2.2.5 勒索施压环节
数据窃取完成后,攻击者正式发起勒索。其施压手段分为多层递进:首先向企业管理层发送邮件,明确告知数据已被窃取,并索要赎金;若企业拒绝配合,攻击者会依次联系企业员工、合作伙伴、客户,散布数据泄露消息,制造舆论压力;若依旧未达成协议,攻击者会将涉密法律文件、个人隐私信息、财务数据公开发布在公开网站上,彻底摧毁企业声誉。攻击者在沟通中明确表示,不会对系统进行加密,核心诉求仅为赎金,这也是该团伙与传统勒索软件团伙的核心区别。
2.3 攻击全维度识别特征总结
基于上述攻击链路,从邮件特征、电话社工特征、远程工具行为特征、物理入侵特征、终端外设特征五个维度,提炼标准化识别规则,为后续检测代码开发、人工甄别提供依据。
2.3.1 邮件维度特征
邮件主题集中围绕 “发票、数据迁移、系统故障、安全告警” 等办公场景,无明显恶意标识;
正文不附带恶意附件与高危链接,主要引导收件人拨打陌生客服电话,引流至线下语音沟通;
发件人地址多为临时注册的通用域名,展示名称伪装为 “IT 运维部”“系统管理员” 等内部身份,与企业官方发件域名不匹配。
2.3.2 电话社工维度特征
来电号码多为网络虚拟号码、境外号码,无企业官方固定电话标识;
通话话术刻意制造紧迫感,反复提及 “系统异常、数据风险、限时排查”,逼迫用户立即配合操作;
主动要求开启屏幕共享、下载远程工具,拒绝通过企业内部工单、官方渠道核实身份。
2.3.3 远程管理工具行为特征
非 IT 运维部门的终端出现商用 RMM 工具进程、系统服务,超出正常业务范围;
非工作时段(夜间、节假日)建立远程会话,远程连接 IP 来自境外地址或非企业办公网段;
正规远程工具进程异常调用 CMD、PowerShell 等命令行程序,执行文件遍历、拷贝、压缩等操作。
2.3.4 物理入侵与访客行为特征
访客自称 IT 运维、设备检修人员,但无法提供内部对接人姓名、运维工单编号;
访客主动要求借用员工私人办公电脑,拒绝前往机房、运维专区开展操作;
访客随身携带大容量移动硬盘、多个 U 盘,频繁插拔终端 USB 接口。
2.3.5 终端外设与系统特征
终端短时间内多次接入未知 USB 存储设备,且设备执行批量文件读取操作;
系统注册表、服务列表中新增未知远程服务、开机自启程序;
本地磁盘大量文件被批量访问、复制,系统读写资源异常飙升。
3 核心风险行为检测代码设计与实现
结合上文提炼的攻击特征,针对 SRG 攻击中最核心的非授权远程管理服务、非法 USB 外设接入、异常进程调用三类风险行为,基于 Python、PowerShell 开发检测代码。代码分为功能演示版本,适配 Windows 主流办公终端,覆盖终端层核心检测场景,同时说明代码运行环境、功能逻辑、局限性与工程化优化方向。
3.1 运行环境与通用依赖说明
本次代码主要面向企业主流 Windows 10/11、Windows Server 终端,部分脚本适配 Linux 服务器。Python 代码基于 Python 3.9 及以上版本开发,所需第三方库安装命令如下:
pip install pywin32 psutil python-registry
各核心库作用:pywin32用于调用 Windows 系统接口,读取系统服务、进程信息;psutil实现系统进程、磁盘、USB 设备的状态监控;python-registry遍历 Windows 注册表,检测 USB 设备记录与远程服务配置。PowerShell 脚本基于 Windows 原生组件,无需额外安装依赖,可直接在组策略、终端本地运行。
3.2 检测模块一:非授权远程管理服务监测
该模块用于检测终端内新增的非法远程管理(RMM)服务、屏幕共享进程,对应 SRG 远程诱导环节的核心风险。企业可预先定义授权远程服务白名单,白名单以外的远程服务、陌生屏幕共享进程一律判定为高风险。
3.2.1 Python 完整代码
import psutil
import win32serviceutil
import win32service
from typing import List
# 全局配置:企业授权的远程服务、进程白名单(根据企业实际运维工具修改)
AUTHORIZED_RMM_SERVICES = ["TeamViewer_Service", "AnyDesk_Service"]
AUTHORIZED_PROCESSES = ["teamviewer.exe", "anydesk.exe", "mstsc.exe"]
# 风险等级划分
RISK_LEVEL = {"SAFE": "正常", "WARNING": "可疑", "DANGER": "高风险-非授权远程工具"}
def get_all_windows_services() -> List[dict]:
"""遍历Windows系统所有服务,返回服务名称与运行状态"""
service_list = []
try:
# 枚举系统所有服务
services = win32serviceutil.EnumServicesStatus(
None, win32service.SERVICE_WIN32, win32service.SERVICE_STATE_ALL
)
for service in services:
service_name = service[0]
service_display = service[1]
service_state = service[3]
service_list.append({
"name": service_name,
"display_name": service_display,
"state": service_state
})
except Exception as e:
print(f"服务枚举异常:{str(e)}")
return service_list
def check_rmm_services() -> dict:
"""检测非授权远程管理服务"""
result = {"risk": RISK_LEVEL["SAFE"], "abnormal_services": [], "abnormal_processes": []}
# 检测系统服务
all_services = get_all_windows_services()
for service in all_services:
s_name = service["name"]
# 筛选正在运行的非授权远程服务
if service["state"] == win32service.SERVICE_RUNNING and s_name not in AUTHORIZED_RMM_SERVICES:
# 简单匹配远程服务关键字
if "remote" in s_name.lower() or "rmm" in s_name.lower() or "screen" in s_name.lower():
result["abnormal_services"].append(service)
result["risk"] = RISK_LEVEL["DANGER"]
# 检测系统进程
for proc in psutil.process_iter(["name", "pid"]):
try:
proc_name = proc.info["name"].lower()
if proc_name not in AUTHORIZED_PROCESSES:
if "remote" in proc_name or "screen" in proc_name or "share" in proc_name:
result["abnormal_processes"].append({"pid": proc.info["pid"], "name": proc_name})
result["risk"] = RISK_LEVEL["DANGER"]
except (psutil.NoSuchProcess, psutil.AccessDenied):
continue
return result
if __name__ == "__main__":
print("========== 远程管理服务&进程检测结果 ==========")
detect_result = check_rmm_services()
print(f"综合风险等级:{detect_result['risk']}")
if detect_result["abnormal_services"]:
print("\n发现非授权远程服务:")
for s in detect_result["abnormal_services"]:
print(f"服务名:{s['name']},显示名称:{s['display_name']}")
if detect_result["abnormal_processes"]:
print("\n发现非授权远程进程:")
for p in detect_result["abnormal_processes"]:
print(f"进程PID:{p['pid']},进程名:{p['name']}")
if detect_result["risk"] == RISK_LEVEL["SAFE"]:
print("未检测到非授权远程管理服务与进程")
3.2.2 代码功能说明
该代码分为两大核心函数:get_all_windows_services遍历 Windows 系统全部后台服务,获取服务名称与运行状态;check_rmm_services比对预定义白名单,筛选出包含remote、rmm、screen等关键字的非授权远程服务与进程。运行后输出风险等级、异常服务与进程列表,可直接用于终端本地检测,也可对接 EDR 平台实现批量上报。
3.3 检测模块二:非法 USB 外设接入监测与管控
该模块针对 SRG 线下物理入侵环节的 USB 拷贝数据行为,分为实时检测代码与USB 权限禁用脚本,实现 “监测 + 管控” 双重防护,阻止未知移动介质读取终端数据。
3.3.1 Python USB 设备实时检测代码
import psutil
import time
# 定义可信USB设备列表(填写企业正规运维U盘序列号)
TRUSTED_USB_SN = ["SN123456", "SN654321"]
CHECK_INTERVAL = 5 # 检测间隔,单位:秒
def get_usb_devices() -> list:
"""获取当前终端接入的USB存储设备"""
usb_list = []
# 遍历系统磁盘分区
for part in psutil.disk_partitions(all=False):
# 判断是否为可移动磁盘
if part.fstype and "removable" in part.opts.lower():
device_path = part.device
mount_point = part.mountpoint
usb_list.append({"device": device_path, "mount": mount_point})
return usb_list
def monitor_usb_device():
"""实时监控USB设备接入,告警未知设备"""
print("开始实时监控USB设备接入,按Ctrl+C终止监控")
history_usb = get_usb_devices()
try:
while True:
current_usb = get_usb_devices()
# 比对新增USB设备
for dev in current_usb:
if dev not in history_usb:
print(f"【告警】检测到未知USB设备接入,挂载路径:{dev['mount']}")
history_usb = current_usb
time.sleep(CHECK_INTERVAL)
except KeyboardInterrupt:
print("USB监控已终止")
if __name__ == "__main__":
monitor_usb_device()
3.3.2 PowerShell USB 权限禁用脚本(组策略可用)
该脚本通过修改 Windows 注册表,全局禁用所有外部 USB 存储设备,从根源阻止攻击者通过 U 盘拷贝数据,适合律所、财务等涉密终端部署:
powershell
# 禁用所有可移动USB存储设备(管理员权限运行)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 4 -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices" -Name "Deny_All" -Value 1 -Force
Write-Host "已全局禁用USB存储设备,重启终端生效"
3.3.3 代码功能说明
Python 脚本实现 USB 设备实时热监控,每隔 5 秒扫描一次终端磁盘分区,一旦发现新增可移动存储设备立即发出告警,适配办公终端日常监测场景;PowerShell 脚本修改系统注册表项,永久禁用 USB 存储功能,仅保留鼠标、键盘等非存储类 USB 设备,适用于高涉密工位、服务器终端。两类代码结合使用,可有效抵御物理入侵中的介质窃密行为。
3.4 检测模块三:异常文件批量拷贝行为监测
攻击者接入远程工具或 USB 设备后,会执行批量文件拷贝操作,导致终端磁盘读写资源异常。该模块通过监测磁盘读写速率、批量文件访问行为,识别数据窃取动作。
import psutil
import time
# 磁盘读写阈值(单位:MB/s,超过阈值判定为批量文件操作)
DISK_IO_THRESHOLD = 8
CHECK_CYCLE = 3
def monitor_disk_io():
"""监测磁盘异常高读写行为,识别批量文件拷贝"""
print("开始监测磁盘读写行为,检测批量文件拷贝...")
disk = psutil.disk_io_counters()
old_read = disk.read_bytes
old_write = disk.write_bytes
while True:
time.sleep(CHECK_CYCLE)
new_disk = psutil.disk_io_counters()
# 计算读写速率(转换为MB)
read_speed = (new_disk.read_bytes - old_read) / 1024 / 1024 / CHECK_CYCLE
write_speed = (new_disk.write_bytes - old_write) / 1024 / 1024 / CHECK_CYCLE
# 判定异常读写
if read_speed > DISK_IO_THRESHOLD:
print(f"【高风险告警】磁盘读取速率异常:{round(read_speed,2)} MB/s,疑似批量文件窃取")
old_read = new_disk.read_bytes
old_write = new_disk.write_bytes
if __name__ == "__main__":
monitor_disk_io()
3.5 代码整体局限性与工程化优化方向
上述代码均为原理验证版本,适用于小型办公终端、单点测试,在大型企业规模化部署时存在一定局限,结合攻防实践给出优化方向。
白名单静态化:当前白名单为手动配置,企业运维工具变更后需人工修改代码。优化方向:对接企业资产管理平台,自动同步合法软件、设备信息,实现白名单动态更新。
无网络联动能力:本地检测结果无法同步至安全平台。优化方向:增加网络上报接口,将告警数据推送至 EDR、SIEM 平台,实现全网统一告警。
仅适配 Windows 终端:未覆盖 Linux 服务器、macOS 办公终端。优化方向:基于系统特性开发跨平台检测脚本,统一检测规则。
缺乏行为关联分析:单一检测模块独立运行,无法关联 “USB 接入 + 远程服务 + 磁盘高读写” 的组合攻击行为。优化方向:搭建规则引擎,多模块数据联动分析,提升攻击识别准确率。
反网络钓鱼技术专家芦笛强调,终端检测脚本是抵御混合攻击的最后一道技术防线,企业需将此类检测逻辑嵌入终端安全基线,结合组策略、EDR 平台实现强制部署,避免员工私自关闭监测程序。
4 面向混合勒索攻击的全域防御体系构建
SRG 团伙的攻击跨越网络、终端、物理空间、人员管理多个维度,传统分区独立防御模式完全失效。本文基于零信任 “永不信任、始终验证、最小权限” 的核心理念,构建网络层、终端层、物理安防层、人员管理层、应急响应层五层全域防御体系,各层级联动协同,覆盖攻击事前预防、事中拦截、事后追溯全流程。
4.1 网络层防御:收缩攻击面,管控远程访问
网络层是抵御远程社工诱导链路的第一道防线,核心目标是管控远程访问权限、拦截异常流量、规范邮件与语音渠道。
4.1.1 远程访问权限精细化管控
严格限制外网对企业内网的远程访问,执行三大策略:第一,地址白名单,仅允许企业办公网段、指定运维公网 IP 接入远程服务,封禁境外 IP、陌生网段的远程连接;第二,时间限制,非工作时段(22:00 - 次日 6:00)全面关闭 RMM 工具、远程桌面服务端口;第三,端口收缩,关闭服务器与终端不必要的端口,尤其是 SSH 22 端口、远程桌面 3389 端口,仅在运维场景按需临时开放,并开启访问日志审计。
对于必须使用的远程运维工具,统一采购、统一部署,建立官方工具白名单,禁止员工私自下载、安装各类远程软件。
4.1.2 邮件与语音渠道防护
升级邮件安全网关,新增专项检测规则:拦截正文引导拨打陌生电话的钓鱼邮件,对 “发票、数据迁移、系统故障” 等高危主题邮件做标记预警;配置邮件发件域名校验,拦截非企业官方域名的内部运维类邮件。
针对电话社工攻击,启用企业总机身份转接机制:外部来电要求对接 IT 运维的,必须通过总机登记、内部人员核实后再转接;统一公示官方 IT 服务热线,告知员工仅接听官方号码的运维来电,拒绝陌生网络来电的远程协助要求。
4.1.3 网络流量审计
部署流量审计设备,对 RMM 工具、屏幕共享类加密流量做行为基线分析,当发现正规远程工具频繁访问大量文档目录、向外网服务器传输大体积文件时,自动阻断连接并发出告警。
4.2 终端层防御:权限收紧,实时监测风险行为
终端是数据窃取的核心载体,结合前文代码示例,从服务管控、外设管理、进程监控、权限配置四个方面加固终端安全,覆盖远程攻击与物理入侵两类场景。
4.2.1 系统服务与进程管控
在全公司终端部署远程服务检测脚本,通过组策略强制开机自启,实时监控非授权 RMM 服务与进程;使用 Windows AppLocker、Linux SELinux 等应用白名单工具,禁止未知可执行文件运行,从源头拦截私自安装的远程工具。
4.2.2 USB 外设分级管控
根据终端涉密等级执行差异化策略:高涉密工位(律师工位、财务终端、服务器)完全禁用 USB 存储设备;普通办公终端启用 USB 白名单,仅允许企业统一配发的运维 U 盘接入,所有 USB 读写操作全程留日志审计。同时关闭系统自动播放功能,防止恶意程序自动运行。
4.2.3 账户与文件权限最小化
遵循最小权限原则,普通员工终端账户仅保留日常办公权限,禁止修改系统服务、注册表、组策略;共享文件夹、核心文档目录设置访问权限,普通员工无批量拷贝、删除权限,即使终端被入侵,也能限制数据窃取范围。
4.3 物理安防层防御:联动网络安全,强化身份核验
打破物理安防与网络安全的割裂状态,升级访客管理、门禁系统、区域隔离策略,重点防范冒充 IT 人员的线下物理入侵。
4.3.1 访客身份双重核验制度
修订访客管理规范,取消单一登记模式,执行 “身份证登记 + 内部对接人现场确认 + 访客临时凭证” 三重流程。凡自称 IT 运维、设备检修的访客,前台必须当场联系企业 IT 部门核实工单与人员信息,无内部人员确认一律禁止进入办公区。同时禁止访客单独在办公区域活动,必须由对接人全程陪同。
4.3.2 门禁与区域隔离加固
升级办公大楼门禁系统,启用生物识别、刷卡双重认证,防止人员尾随混入;将机房、涉密办公区、档案库划分为独立安全区域,部署独立门禁与高清监控,非授权人员严禁进入。监控系统录像保存时长不少于 90 天,用于事后攻击追溯。
4.3.3 工位设备管理规范
要求员工离开工位时及时锁屏、关闭电脑,无人值守的终端自动启动屏幕保护并锁定账号;禁止外来人员随意借用办公电脑,明确规定 “设备检修必须在机房或运维专区开展”,杜绝外来人员接触办公工位终端。
4.4 人员管理层防御:专项培训,建立上报机制
SRG 攻击的核心突破口是人员信任,因此人员安全意识建设是整个防御体系的核心。针对该团伙的攻击场景,开展定向安全培训与行为规范约束。
4.4.1 分层专项安全培训
改变传统泛化的安全培训模式,分岗位开展针对性教学:面向全体员工,重点讲解 “冒充 IT 运维上门、电话诱导远程共享” 两类社工场景,结合真实案例拆解话术欺骗手段,现场开展模拟演练;面向前台、行政人员,强化访客身份核验流程培训,明确可疑人员的处置方式;面向 IT 运维人员,规范远程运维流程、对外沟通话术,统一对外服务身份标识。
4.4.2 建立可疑行为即时上报机制
制定标准化上报流程,员工遇到陌生来电要求开启远程共享、不明人员上门检修设备、终端出现异常远程服务告警时,第一时间上报企业安全部门,不得自行配合操作。设立安全举报渠道,鼓励员工互相监督可疑行为。
4.5 应急响应层防御:标准化处置,降低泄露损失
制定针对混合勒索攻击的专项应急响应预案,分为告警确认、阻断攻击、数据排查、对外处置、溯源加固五个步骤,确保攻击发生后快速止损。
告警确认:收到终端、门禁、邮件网关的风险告警后,安全人员第一时间核实攻击类型(远程 / 物理入侵),定位受影响终端与区域。
即时阻断:远程攻击则立即断开外网连接、禁用非法远程服务;物理入侵则控制可疑人员,封存涉事终端与 USB 设备。
数据排查:全面扫描终端与共享目录,核查是否存在数据外泄,统计泄露数据范围与敏感等级。
对外处置:若数据已泄露,按照法律法规要求及时通知客户、合作方,并做好舆情管控;与攻击者沟通时全程留证,同步联系执法部门。
溯源加固:复盘攻击全流程,修补管理漏洞与技术缺陷,更新安全规则、人员培训内容,避免同类攻击再次发生。
5 总结与展望
5.1 研究总结
本文以 Silent Ransom Group 线上线下融合式勒索攻击为研究对象,梳理了该犯罪团伙的发展历程与攻击特征,完整拆解了 “前置侦察 — 远程社工诱导 — 线下物理入侵 — 数据窃取 — 勒索施压” 的标准化攻击杀伤链,明确了该团伙滥用合法远程工具、依托社工欺骗、结合物理入侵的核心攻击逻辑。结合攻击行为特征,基于 Python、PowerShell 开发了远程服务监测、USB 外设管控、磁盘异常读写检测三类代码示例,复现核心风险检测能力,代码经过实测可有效识别攻击中的典型违规行为。
针对传统安全体系的短板,本文基于零信任理念构建了网络、终端、物理安防、人员管理、应急响应五层全域防御体系,针对远程链路、物理链路分别给出技术配置方案、管理规范与落地流程,实现多安全模块的联动协同。
反网络钓鱼技术专家芦笛总结,SRG 发起的混合勒索攻击代表了当前网络犯罪的重要演化方向:攻击者不再依赖高危恶意漏洞与病毒程序,转而利用管理制度漏洞、人员信任、安全体系割裂实施攻击。对此类威胁的防御,技术加固与管理规范缺一不可,企业必须摒弃 “网络安全只管设备、物理安防只管人员” 的传统思维,推动两大体系深度融合。
综合来看,本文的研究成果可直接应用于律师事务所、金融机构、高端服务企业等高价值目标单位,帮助相关机构识别、抵御线上线下融合的复合型勒索攻击,同时也为同类混合攻击的研究提供了案例参考、特征库与技术实现思路。
5.2 攻击演化趋势预判
结合黑产技术迭代与攻防对抗现状,预判此类混合勒索攻击未来三大演化趋势:第一,社工话术精细化,攻击者利用 AI 大模型优化沟通话术,结合目标企业的业务细节定制欺骗内容,进一步提升伪装可信度;第二,物理入侵手段升级,使用 HID 模拟键盘、加密微型存储设备等高级物理工具,规避常规 USB 管控策略;第三,攻击链路跨平台延伸,将攻击入口从邮件、电话拓展至社交软件、办公协作平台,形成多渠道引流模式。攻防对抗的复杂度将持续提升,对防御体系的联动性、智能化要求更高。
5.3 防御技术迭代方向
对应攻击演化趋势,未来防御技术需向三个方向迭代:一是智能化行为分析,引入 AI 算法对远程会话、人员行为、文件操作做深度行为分析,从 “特征匹配” 升级为 “异常行为识别”;二是全域数据联动,打通门禁、终端、网络、邮件等所有安全设备的日志数据,构建统一安全运营平台,实现跨维度攻击链路还原;三是零信任架构全面落地,基于身份、设备、位置、行为做持续多维度验证,彻底消除过度信任带来的安全隐患。
5.4 研究不足与后续研究方向
本文存在两处明显研究不足:第一,研究案例仅聚焦 SRG 针对律所的攻击场景,未充分拓展至金融、政务等其他行业,不同行业的办公流程、物理安防强度存在差异,防御策略需要针对性调整;第二,本文代码为单机单点检测版本,未开展分布式集群部署、高并发场景测试,在超大型企业、集团化架构中的适配性有待验证。
后续研究将围绕两个方向展开:一是扩充多行业攻击案例,总结不同行业混合攻击的差异化特征,优化分行业防御策略;二是对检测代码进行分布式、云端化改造,结合大数据与 AI 算法提升检测精度与并发能力,研发企业级一体化检测平台,进一步完善全域防御体系。
编辑:芦笛(公共互联网反网络钓鱼工作组)
