公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

【客戶故事】8分鐘！看安恒AXDR從網(wǎng)到端極速處置滲透威脅

閱讀量：次

因為相信，所以選擇。【客戶故事】講述數(shù)字時代，安恒信息助力各行各業(yè)客戶實現(xiàn)數(shù)字化轉(zhuǎn)型、高質(zhì)量發(fā)展的成功故事。

“

本期精華速遞

7月某日，某集團為準備即將到來的攻防演習，需要?級子公司員工輪流到總部來值班，當所有人都以為是正常的工作交接，殊不知威脅正悄然而至。

戰(zhàn)事未開，陰云將至

當子公司值班人員將隨身攜帶的辦公筆記本電腦接入集團總部辦公網(wǎng)絡時，已提前在集團總部內(nèi)網(wǎng)部署完成的安恒信息高級威脅檢測與分析系統(tǒng)（簡稱“AXDR”）隨即告警。正在現(xiàn)場值守的我司專家工程師緊急開始排查。客戶現(xiàn)場還部署了迷網(wǎng)蜜罐系統(tǒng)，通過AXDR終端模塊偽服務將攻擊流量引流至迷網(wǎng)蜜罐系統(tǒng)并觸發(fā)告警，經(jīng)過對AXDR終端模塊偽服務告警列表、迷網(wǎng)蜜罐系統(tǒng)告警明細進行仔細研判，我司專家工程師判定這是一起外部感染設備接?網(wǎng)絡橫向攻擊事件。

AXDR終端模塊偽服務告警列表

并且，通過AXDR平臺檢索發(fā)現(xiàn)，已有2臺資產(chǎn)被破解成功，情況十萬火急，清除威脅刻不容緩！

火眼金睛，無所遁形

工程師立即使用AXDR終端模塊?鍵隔離中間攻擊源和受攻擊(掃描探測)成功資產(chǎn)，同時通過AXDR終端模塊體檢報告對感染系統(tǒng)進?體檢分析和調(diào)查取證，發(fā)現(xiàn)可疑連接，且偽裝為某安全廠商任務欄圖標程序。到這一步，真相已然逐漸浮出水面。

惡意文件偽裝為某安全廠商任務欄圖標程序

通過AXDR終端模塊響應中?功能對隔離感染系統(tǒng)遠程調(diào)查，發(fā)現(xiàn)進程依然存在，?件存在D盤某目錄下，上機使用終端殺毒軟件進行終端查殺，未發(fā)現(xiàn)任何異常。因此，工程師判斷可疑?件針對常見殺毒軟件已作免殺，進一步調(diào)查取證，終于發(fā)現(xiàn)可疑?件在某主流安全廠商回收站目錄下并已經(jīng)收集大量信息。最終，工程師通過AXDR終端模塊鎖定造成本次事件的“元兇”。

最終定位的可疑進程路徑?件

抽絲剝繭還原事件真相，原來是由于子公司OA系統(tǒng)網(wǎng)站被植?惡意Flash插件進行?坑攻擊，所有訪問OA系統(tǒng)的?必須下載安裝Flash插件才能正常使用，導致來總部值班?員在當?shù)鼐W(wǎng)絡已被下載植??坑攻擊程序，當?shù)娇偛拷?網(wǎng)絡時攻擊程序?qū)瘓F網(wǎng)絡進?橫向掃描滲透，因AXDR平臺和迷網(wǎng)蜜罐系統(tǒng)告警使事件從發(fā)生、發(fā)現(xiàn)、研判到隔離處置僅僅用了8分鐘就完成，經(jīng)過事件調(diào)查和評估本次滲透攻擊未對集團資產(chǎn)進?橫向擴散影響，受到了客戶的感謝和肯定。

最終還原的本次事件全貌

AXDR ，大顯神威

在本次事件中，大放異彩的就是安恒信息超新星AXDR——高級威脅檢測與分析系統(tǒng)。

AXDR能力體現(xiàn)

AXDR，是基于安恒信息的威脅檢測和數(shù)據(jù)分析能力，構(gòu)建的一種跨多個安全層收集并自動關(guān)聯(lián)信息以實現(xiàn)快速威脅檢測和事件響應的產(chǎn)品，將是安恒流量、終端威脅檢測、分析與響應的一把尖刀。

AXDR終端模塊，是安恒以ATT&CK模型中TTPs（Tactics, Techniques and Procedures）的理念進行開發(fā)的模塊。使得AXDR進一步具備了終端入侵檢測、基線采集、日志收集、流量轉(zhuǎn)發(fā)、資產(chǎn)指紋、追蹤溯源、聯(lián)動響應、封禁處置等功能，具有輕終端、重聯(lián)動、易取證、自溯源、全量存的優(yōu)勢能力。

在最新版本中，AXDR終端模塊推出偽服務動態(tài)蜜罐技術(shù)，該技術(shù)是?種對攻擊方進行欺騙的技術(shù)，通過將真實的核?資產(chǎn)或辦公主機布置?些作為誘餌的未使用端口、網(wǎng)絡服務等，使攻擊方在滲透探測時對這些端口實施攻擊，AXDR終端模塊將端口流量轉(zhuǎn)發(fā)至迷網(wǎng)蜜罐使攻擊者進?交互式操作，從?可以對攻擊?為進?捕獲和分析，拖延攻擊時間，緩減對真實端口定向攻擊，推測攻擊意圖和動機，能夠讓防御方清晰地了解所在的資產(chǎn)正在面對的安全威脅。

利用AXDR終端模塊偽服務功能+迷網(wǎng)蜜罐系統(tǒng)相結(jié)合可以有效檢測橫向滲透攻擊，特別是?級持續(xù)威脅APT以攻陷某個工作站系統(tǒng)作為跳板，攻擊、滲透、訪問其它核?資產(chǎn)，以獲取更多重要信息和敏感資源。在HW期間或日常運營均可在核?資產(chǎn)配置偽服務功能以檢測類橫向滲透攻擊事件，對攻擊?為進?捕獲和分析，拖延攻擊時間，緩減對真實端口定向攻擊，引誘攻擊者進?蜜網(wǎng)，推測攻擊意圖和動機，能夠讓防御方清晰地了解和防護所在的資產(chǎn)正在?對的安全威脅。

未來，AXDR將會用網(wǎng)端結(jié)合的新一代威脅檢測能力服務更多用戶，歷經(jīng)更多實戰(zhàn)檢驗，在刀鋒火線上見真章。

AiLPHA大數(shù)據(jù)智能安全事業(yè)群

??? AiLPHA大數(shù)據(jù)智能安全事業(yè)群在安恒信息首席科學家劉博博士帶領(lǐng)下，以“智引新安全，數(shù)領(lǐng)大未來”為理念，打造行業(yè)引領(lǐng)的態(tài)勢感知、數(shù)據(jù)安全、零信任、隱私計算系列產(chǎn)品。目前AiLPHA平臺產(chǎn)品已經(jīng)服務于全國200多家省市級監(jiān)管單位，3000余家中大型政府、企業(yè)、金融、運營商等單位。產(chǎn)品和技術(shù)累計獲得世界互聯(lián)網(wǎng)大會領(lǐng)先科技成果、工信部示范試點項目、“攜手構(gòu)建網(wǎng)絡空間命運共同體精品案例”等60多個獎項，團隊擁有核心技術(shù)發(fā)明專利400余項，承擔省部級重大課題10項，核心產(chǎn)品AiLPHA態(tài)勢感知平臺連續(xù)多年被第三方咨詢機構(gòu)評為國內(nèi)綜合排名第一。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應鏈安全>