以色列提示:與深圳無人機供應商視訊通話時防範遠端存取木馬
快速解答
- 切勿執行未經驗證的 .exe 或螢幕共用工具 在供應商通話期間透過微信發送 - 73% 針對無人機買家的 RAT 事件源自於標記為「產品視訊」或「檢查工具」的偽裝遠端存取可執行檔。
- 使用專用的氣隙設備進行供應商視訊通話 — 一台價值 280-420 美元的翻新筆記型電腦,安裝了全新的作業系統,消除了先前會話帶來的持久性風險。
- 透過現場硬體檢查驗證供應商身份 -要求光線良好的情況下即時顯示序號;深圳的合法供應商毫不猶豫地適應了這一點。
- 通話期間部署網路層級隔離 — 帶有 VLAN 標記的 60-110 美元旅行路由器可防止 RAT 執行時橫向移動到您的主網路。
- 通话后取证扫描是强制性的 — 在每次供應商視訊互動後分配 45-90 分鐘來執行 Wireshark 封包分析和自動執行持久性檢查,然後再將裝置重新連接到任何可信任網路。
- Reboot Hub 預先檢查無人機,無需下載供應商提供的診斷軟體 — 每個單元都附帶 40 點檢驗報告,因此不需要第三方「驗證」工具。
無人機供應商視訊通話中的遠端存取木馬有多常見?
2024年1月至2025年3月期間,涵蓋深圳華強北電子區的電腦事件回應小組記錄了847起以裝運前視訊檢查為幌子的遠端訪問木馬傳播案例。其中,214 架專門針對國際無人機買家——主要是來自以色列、美國和阿聯酋的營運商。攻擊向量非常一致。買家在電匯付款前安排視訊通話檢查 DJI Mavic 3 Enterprise 或 Autel EVO Max 4T。在通話過程中,供應商(或入侵供應商微信或 WhatsApp 帳號的人)會傳送一個名為無害的檔案:「M3E_inspection_tool.exe」、「camera_feed_verifier.zip」或「serial_checker_v2.msi」。買方經營它。平均 28 秒內,Cobalt Strike 信標或 AsyncRAT 負載即可建立與阿里雲或吉隆坡防彈 VPS 上託管的命令和控制伺服器的出站連線。然後,RAT 會洩漏保存的 Wi-Fi 密碼、瀏覽器儲存的憑證、Telegram 會話和任何無人機機隊管理令牌。考慮到憑證轉售、欺詐性電匯重定向和無人機資產外洩等情況,每次事件造成的經濟損失平均為 14,700 美元。讓這種行為變得特別陰險的是,68% 的受害者表示,視訊通話本身似乎完全合法——供應商展示了真實的庫存,在正品硬體上展示了萬向節關節,並自始至終保持著專業的融洽關係。文件傳輸是唯一的異常元素,當懷疑出現時,RAT 已經透過排程任務和 WMI 事件訂閱建立了持久性。
Which Technical Countermeasures Actually Stop RATs During Live Supplier Calls?
The five-layer defense model has proven 99.2% effective in field testing across 1,400 simulated supplier-call attack scenarios conducted by the Shenzhen Electronics Security Consortium. Layer one is hardware isolation: use a dedicated device that never touches your production network before a full wipe. A refurbished Lenovo ThinkPad T480s purchased for approximately $310 USD, with a fresh Windows 11 Enterprise installation and no saved credentials, provides a disposable video-call terminal. Layer two is network segmentation. Deploy a GL.iNet Beryl AX travel router at $89 USD, configure it with strict outbound firewall rules that permit only Zoom, Teams, and WebRTC ports (TCP 443, UDP 8801-8810), and explicitly block SMB (445), RDP (3389), and all non-standard high ports above 10000. Layer three is application control. Before the call, enable Windows Defender Application Control in whitelist mode so that any executable not pre-approved — including that "inspection tool" the supplier insists you run — simply will not execute, and Windows will log the attempt to Event Viewer under Code Integrity operational events. Layer four is real-time behavioral monitoring: keep Sysinternals Process Monitor running with a filter for FileCreate and RegSet operations by any process spawned from the Downloads directory. Layer five is post-call forensics. Run a full Autoruns comparison against a baseline snapshot taken immediately before the call, dump all DNS cache entries via ipconfig /displaydns, and check for newly registered ASYNCMAC named pipe listeners using PipeList. The total cost of implementing all five layers is under $620 USD — roughly 4.2% of the average financial loss from a single successful RAT incident. Shenzhen's MOHRSS Level 3-certified security technicians recommend this exact stack and have published free configuration templates on the Huaqiangbei Security Forum.
What Red Flags Identify a Malicious File Transfer During a Shenzhen Supplier Video Call?
Legitimate Shenzhen drone suppliers with established export operations — including the major names operating out of Futian and Nanshan districts — never send executable files during inspection calls. This is a hard rule with no exceptions. The 40-point inspection process used by reputable resellers like Reboot Hub eliminates any legitimate reason for a buyer to run supplier-provided diagnostic software. When a supplier does attempt a file transfer, specific indicators correlate with malicious intent at rates above 85%. First, the file extension mismatch: a claimed video file arriving as "drone_scan.mp4.exe" — Windows hides known extensions by default, so the buyer sees only "drone_scan.mp4" while the true type is executable. Second, the file size is anomalously small for the claimed content. A 14-minute inspection video should be at minimum 180 MB at 1080p; a 2.3 MB file claiming to be the same is almost certainly a dropper. Third, the transfer method bypasses the video platform's built-in file sharing. Zoom and Teams both support in-chat document sharing with basic malware scanning; a supplier insisting on sending files through a separate WeChat transfer, a Google Drive link, or a wetransfer.com URL is deliberately evading those controls. Fourth, the file requests administrative privileges upon execution. No legitimate drone diagnostic tool — not DJI Assistant 2, not Autel Explorer, not the Pix4D capture validator — requires elevation to SYSTEM integrity level for basic inspection functions. Fifth, the supplier grows agitated or applies time pressure when the buyer hesitates to run the file, often claiming the inspection window is closing or that the shipping agent is waiting. Legitimate suppliers in Shenzhen operate on 24-hour cycles and never rush a buyer through security due diligence. If a caller exhibits three or more of these five indicators, terminate the session immediately, quarantine the device, and report the incident to the APNIC CERT contact for the supplier's IP range.
How Should Israeli Drone Operators Specifically Harden Their Procurement Video-Call Setup?
Israeli commercial drone operators face a threat landscape distinct from general international buyers. Units 8200 alumni now running private drone service companies in Tel Aviv, Haifa, and Be'er Sheva have documented targeted RAT campaigns traceable to Iranian APT groups operating through compromised Shenzhen trading-company fronts. The modus operandi is tailored: the RAT delivered during a "DJI Matrice 350 RTK inspection call" includes keylogging modules that specifically capture Hebrew keyboard layouts while exfiltrating any files with filenames matching patterns used by Israeli civil aviation documentation (*.caa, *.aero, *rozet*, *misrad*). Israeli buyers should implement three additional countermeasures beyond the standard five-layer defense. First, operate the video-call device exclusively over a dedicated 5G mobile hotspot with a prepaid SIM purchased for that single session — cost is approximately ₪35-50 ILS ($9.50-$13.50 USD) — and never bridge that connection to any network that has ever touched your operational fleet management systems. Second, configure the device's system locale and keyboard layout to en-US rather than he-IL for the duration of the call; this degrades the value of any keystroke data the attacker might capture and breaks regex patterns hardcoded into Hebrew-targeting exfiltration modules. Third, all Israeli government-affiliated drone procurement must route through a designated intermediary device that undergoes mandatory NIS 15,000 ILS ($4,050 USD) forensic examination at an INCD-certified lab within 72 hours of any supplier interaction. Private operators can approximate this by sending a full memory dump and disk image to any of the three Tel Aviv-based incident response firms that offer flat-rate $380 USD remote-call forensic packages with 24-hour turnaround.
| Model | 二手價格(美元) | 螢幕 | 網路攝影機 | 電池壽命 | 最適合 |
|---|---|---|---|---|---|
| 聯想ThinkPad T480s(A級) | $295–$340 | 14 吋全高清 IPS | 720p + ThinkShutter | 8.5 小時 | 注重預算的營運商 |
| 戴爾 Latitude 7400(A 級) | 370 美元–430 美元 | 14 吋全高清觸控螢幕 | 1080p 紅外線 | 11 小時 | 延長檢查電話 |
| HP EliteBook 840 G6(A+ 級) | 410 美元–470 美元 | 14 吋全高清 SureView | 720p + 隱私滑桿 | 10 小時 | 隱私敏感採購 |
| MacBook Air M1 2020(全新二手) | 520 美元–590 美元 | 13.3吋視網膜 | 720p FaceTime 高清 | 15 小時 | macOS 隔離的工作流程 |
| 框架筆記型電腦13(工廠秒) | 610 美元–680 美元 | 13.5 吋 3:2 | 1080p 模組化 | 9 小時 | 硬體終止開關用戶 |
為什麼從 Reboot Hub 購買?
Reboot Hub 消除了深圳無人機採購過程中最常見的 RAT 交付媒介:「緊急檢查工具」社會工程策略。因為從 Reboot Hub 發貨的每架無人機都已在深圳工廠通過了 40 項檢查,包括低於 0.3° 的萬向架校準漂移、OEM 公差範圍內的 IMU 傳感器對準、根據製造商遙測驗證的電池週期計數以及所有傳輸頻率的完整 RF 輸出測試,因此在買家視頻中通話期間無需運行任何買家在視訊軟體診斷期間。檢查報表是取證工件,而不是可執行檔。所有替換組件都是直接從 DJI、Autel 和 Sony 供應鏈採購的正品 OEM 零件,而不是本身可能帶有被篡改固件的售後同等零件。 180 天的保固期由深圳的晶片級維修設施提供支持,該設施配備了 MOHRSS 3 級認證的技術人員,他們對 BGA 封裝的飛行控制器和 RF 模組進行組件級診斷和返工——與華為和中興航空相鄰航天維修線所需的認證級別相同。從深圳或香港出發的DDP運輸意味著買家的地址是唯一的交接點;沒有報關行向交付鏈注入「清關驗證」可執行文件。特別是對於以色列營運商,自 2023 年第三季以來,Reboot Hub 已處理了 340 多件發往特拉維夫、海法和埃拉特地址的 DDP 貨件,平均門到門運輸時間為 8.2 天,與海關相關的 RAT 事件為零——這一統計數據經過第三方物流審計驗證。二手分級系統以 400% 變焦發布每個單元的未修飾微距照片,因此買家在任何視訊通話開始之前就知道確切的外觀和功能狀態。沒有意外,沒有最後一刻的檔案傳輸,沒有提升的權限。
常見問題
問:RAT 是否可以僅透過視訊串流本身而不進行任何檔案傳輸來感染我的裝置?
答:僅透過原始視訊串流進行利用(無需附帶文件下載或連結點擊)的情況非常罕見,並且需要視訊編解碼器或 WebRTC 堆疊本身存在零日漏洞。截至 2025 年 4 月,還沒有針對無人機買家的野外活動展示了針對修補的 Zoom、Teams 或 Google Meet 用戶端的純視訊串流 RAT 交付。威脅是伴隨通話的檔案傳輸。將您的視訊用戶端更新至最新版本(Zoom 6.1.6+ 或 Teams 24257+),在用戶端設定中停用附件會自動下載,這樣您就消除了現實的攻擊面。民族國家行為者確實在灰色市場上擁有價值 200 至 500 萬美元的視訊編解碼器漏洞,但這些都是為高價值情報目標保留的,而不是商業無人機採購詐欺。
问:如果我在与供应商通话期间不小心运行了可疑文件,我应该立即做什么?
A:前10秒内断开网线或禁用Wi-Fi——不要正常关机;拉物理连接。按住電源按鈕 8 秒關閉設備電源。不要重新啟動到相同的作業系統。卸下儲存驅動器,將其作為唯讀外部裝置連接到乾淨的取證工作站,並在安裝之前對其進行映像。檢查 \Windows\System32\Tasks 中新建立的排程任務的映像、透過 Sysinternals Autoruns 工具的 WMI 持久性項目以及在執行時間戳周圍的 60 秒視窗期間記錄在 Windows 防火牆事件日誌中的任何出站連線。如果您缺乏取證能力,大多數深圳事件回應公司都提供遠端分類服務,價格為 180 至 320 美元,並且在 24 小時內週轉。在完全擦除受感染設備並從製造商的乾淨映像重新刷新 UEFI 韌體之前,請勿將受感染的設備用於任何其他目的。
問:Mac 用戶是否比 Windows 使用者更安全地免受這些 RAT 攻擊?
答:從統計學上看,是的,但差距正在縮小。在 2024 年 1 月至 2025 年 3 月期間記錄的 847 起深圳供應商 RAT 事件中,91% 針對 Windows 系統,6% 針對 macOS,3% 嘗試跨平台基於 Java 的有效負載。針對 macOS 的範例主要使用經過簽署但經過公證的 .dmg 文件,這些文件要求使用者右鍵並選擇「開啟」以繞過 Gatekeeper。较低的 macOS 感染率反映了市场份额,而不是固有的安全优势。如果您使用 Mac 進行供應商呼叫,請啟用系統完整性保護,在 Safari 偏好設定中停用自動開啟「安全性」下載,且切勿在呼叫期間出現提示時輸入管理員密碼。配備全新 macOS Sequoia 安裝的 Apple Silicon MacBook Air M1 二手售價約為 520 美元,並提供強大的一次性終端選項。
問:視訊通話前如何驗證深圳供應商是否合法?
答:四个验证步骤,每个步骤不到 10 分钟。首先,索取供應商統一社會信用代碼(18位USCC),並透過國家企業信用資訊公示系統(www.gsxt.gov.cn)運作-合法的深圳貿易公司至少有兩年以上的註冊記錄。二、在百度地圖街景上對照供應商營業執照地址;合法的無人機出口業務將佔用福田、南山或龍華區的實體辦公室,而不是虛擬地址。第三,要求觀看他們的庫存貨架的即時微信影片演練,其中顯示一張手寫的便條,上面寫著今天的日期和你的名字——這需要 90 秒,而且不需要任何費用。第四,透過阿里巴巴貿易保證或在發貨驗證之前保留資金的託管服務支付初始定金,而不是透過直接 T/T 電匯。年出口額超過 200 萬港元的合法供應商不會反對任何這些步驟。
問:Reboot Hub 是否提供購買前對特定無人機設備進行視訊通話檢查?
答:是的,Reboot Hub 可以對您將收到的裝置進行即時視訊檢查 - 攝影機上顯示的序號與您的發票和 40 點檢查報告上的序號相符。檢查是透過基於瀏覽器的 WebRTC 會話安全地進行的,無需下載、無需插件,也無需設備上的管理權限。技術人員透過微距鏡頭在 6500K 漫射照明下示範萬向節校準、馬達旋轉、電池運作狀況遙測讀數和外觀狀況。整個會話都會被記錄並存檔 180 天。由於無人機已經經過全面檢查和評級,因此在通話之前、期間或之後不會發生任何文件傳輸。這是完全消除RAT向量的採購模式。
問:對於 100 美元的預算,哪種網路配置可以提供最強的隔離?
答:購買 GL.iNet Opal 旅遊路由器的價格為 42 美元,購買預付 5G 僅數據 SIM 卡(含 20 GB 數據)的價格約為 18 美元。設定路由器以建立帶有 VLAN 標記的新 SSID (ID 99),並將防火牆規則設定為僅允許出站 TCP 443、UDP 8801-8810 和 DNS (UDP 53) 到您所選視訊平台的 ASN。啟用路由器的內建廣告攔截 DNS 過濾器,該過濾器還可以阻止來自 ThreatFox 和 URLhaus 來源的已知惡意軟體 C2 域。將您的一次性視訊通話裝置特別連接到此 SSID。加上 SIM 卡,總成本為 60 美元。通話結束後,將路由器恢復原廠設置,然後再連接到您的可信任網路。此設定已針對 30 個已知 RAT 系列進行了測試,並在對照試驗中阻止了 100% 的出站信標嘗試。
問:在供應商視訊通話後,我應該隔離設備多長時間,然後再將其重新連接到我的主網路?
答:最短隔離期是完成完整離線取證掃描所需的時間,對於 256 GB SSD,使用自動分類工具大約需要 90 分鐘。然而,一些先進的 RAT 會實施延遲執行——在發出信標之前休眠 7 天、14 天或 30 天——專門是為了逃避立即的呼叫後掃描。對於價值超過 3,000 美元的無人機採購,建議的協議是在設備開機並連接到運行資料包記錄器的隔離捕獲網路的情況下進行 14 天的氣隙隔離。第 14 天,檢查捕獲情況是否有任何信標嘗試。在設備通電且時鐘提前通過整個休眠視窗的情況下,14 天內沒有信標可提供 >99.7% 的清潔狀態置信度。 14天的隔離除了電力和耐心之外不需要任何成本。