AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
2023年攻防演習案例丨發現0day!安恒實戰利器AXDR橫刀立馬守護國企平安
戰局初開,疑云密布
2023年8月9日晚,某大型國企正在進行重點安全保障,這是現場值守人員的第一個夜班,現場已經緊鑼密鼓地投入到了保障中。雖然這天已經有數千條告警,其中也不乏高危告警,但大多數是些掃描爆破類的告警,按照之前的預案進行處置,也顯得有條不紊,晚上9:33,值守人員正按現場流程處理著可疑ip,突然,一條有些特別的告警映入他的眼簾:
“-發現可疑事件:遠程命令執行攻擊
-告警結果:嘗試”
按照過往安全分析研判的經驗,在重點保障期間,掃描和爆破應該是出現頻次最高的告警,相對的,這一類型的告警處理起來也最容易,封禁了對應的可疑ip大概率就萬事大吉了。但是,該條名稱為“注入攻擊”且結果為“嘗試”,威脅等級為“高”的告警,不同于之前的掃描爆破類告警,一旦出現,極可能就是真的有安全事件將要發生了。一股不祥的預感在值守人員心中升起。
發現0day告警的原始界面
察敵夜襲,竟是0day
值守人員立刻排查該條告警的詳情,首先在各類情報中心排查該攻擊者ip——是惡意ip!
“難道系統已經被攻破了?”值守人員不敢懈怠。立刻研判報文內容,果然,請求里面包有明顯的構造的惡意命令——ping dnslog網站。
“好像…有攻擊成功了。”夜班的人本就不多,值守人員短短幾個字,不一會兒研判組,處置組已經全部聚在了一起。至此,戰斗的警鈴已被拉響,現場已進入戰斗狀態。
漏洞細節:ping dnslog網站
為了進一步確認該請求是否可以執行,研判組使用Burpsuite回放這個請求,發現可以執行,并且更嚴重的是,本身telent命令沒有回顯,通過Wireshark抓包發現收到的回包是200,很大的可能已經攻擊成功了!
流量分析:確認是真實攻擊
接下來,秉持著嚴謹審慎的態度,研判組又對該條告警進行進一步研判和復測。
研判組成員手動回放這個請求,以確認是否存在這個漏洞,經研判組緊急進行研判,確認攻擊事件為成功,復測可以執行命令,也就是說,這是一個0day漏洞!
第一天就發現了0day,這問題不可謂不嚴重,現場立刻啟動1級應急響應,用戶也立刻趕到現場,緊急聯系對應0day廠商進行修復。同時,通過AXDR聯動用戶防火墻進行快速封禁處置,防止產生更大的危害。
復測可以執行命令
快速處置,有驚無險
晚上21:51,“ip已經封禁好了”處置組報告。
21:52,“告警列表我設為了30秒刷新一次”安恒值守人員報告,“如果后續沒有告警,那應該就沒有問題了。”
21:56,隨著告警列表的刷新,一次,兩次,三次……終于沒有出現之前的高危告警,現場所有人懸著的心終于放了下來,安恒的值守人員也靠在椅子上,有驚無險,長舒一口氣。
21:58,洗把冷水臉,接下來,就是找線索,找證據,寫報告,第二天提交報告,該事件總算是得到了圓滿的處置。
AXDR,實戰利器
AXDR作為安恒的實戰攻防利器,在本次事件的監測分析研判中發揮了舉足輕重的作用,成功針對0day漏洞進行了預警,成為了攻防現場的“火眼金睛”,與之形成鮮明對比的是,現場平臺僅有AXDR產生了相應告警,友商平臺均未產生告警。
AXDR是如何做到這一點的呢?AXDR擁有多年沉淀的威脅檢測引擎,對各類惡意報文特征進行了細致研究與分析,結合AI算法,即使沒有既有情報,面對0day漏洞的報文特征,依然能夠使其無所遁形。此外,與終端深度融合,通過IOA分析引擎以及網端關聯能力,可發現未知威脅。
安恒AXDR高級威脅檢測與分析系統立足實戰,高于實戰。
在戰前,通過利用AXDR平臺的BAS模塊對現網環境進行自動化的模擬攻擊,驗證當前網絡的安全防御能力、安全檢測能力,并提供安全能力的可視化度量。
在戰時,通過對全網流量、終端數據、誘捕數據等進行深度關聯分析,實時動態的精準識別安全告警,并提煉出完整的安全事件。
在戰后,通過分析平臺和誘捕技術,查看攻擊者行為,獲取攻擊者指紋信息,進一步對攻擊者進行溯源,識別攻擊者身份。
往期精彩回顧
2023-09-12
