优发国际网站官网XDR助力精准“猎狐”:一键处置惩罚 瞬间破案!

宣布时间 2024-04-19

2024年4月上旬,优发国际网站官网接获企业客户反响,其XDR治理中心发明内网办公主机熏染“银狐”木马,并保存远程控制行为。通过XDR准确勾勒的攻击事务全貌,我们迅速剖析出攻击者的一系列重大操作,并有用阻止了攻击的进一步生长。


作甚“银狐”?


银狐系列木马是一类针对企事业单位治理职员、财务职员、销售职员等举行垂纶攻击的木马。


银狐的撒播方法主要分为下载和垂纶两种:攻击者经�;峁褐米琶阉饕娴木杭叟琶�,让捆绑了银狐木马的冒充办公软件排名靠前。当受害者下载并执行这些冒充办公软件时即被植入木马后门;


另外,他们还会将木马包装成目的工具关注的文件名,通过即时通讯工具、垂纶邮件等形式举行撒播。


在检测规避上,银狐木马常通过多种手段抵达免杀效果:如白加黑、侧加载、清静软件规避、多阶段加载等。


在与C2举行通讯时,一样平常设置有通讯密码,接纳zlib、XOR、AES、RC4等多种算法混淆加密其通讯内容,以包管数据不被清静装备检测。


“猎狐”行动委屈


2024年4月上旬,优发国际网站官网收到某企业客户反响其天阗XDR治理中心(以下简称XDR)发明其内网办公主机熏染“银狐“木马,并且保存远程控制行为,需要协助研判剖析。


优发国际·随优而动一触即发


在故事线中,本次木马攻击的完整攻击时间线泛起在用户眼前,并且客户已经使用系统的一键处置惩罚功效完成了病毒木马整理。


优发国际·随优而动一触即发


基于XDR对整个攻击事务的形貌,我们完整还原了整个攻击历程:

4月11日 14:53


某财务职员在一个微信群中收到名为“小规模纳税人增值税政策第三批划定.zip”的压缩包。


优发国际·随优而动一触即发


4月11日 14:57


用户解压压缩包并运行了内里的文件。压缩包内文件现实为木马下载器,执行后将从远程服务器8.134.201.170:80下载并执行shellcode。


4月11日 14:58 


shellcode下载完毕后,受害主机最先外联C2服务器举行通讯。通过XDR的自动研判取证,我们可以看到完整的看到从“银狐”上线数据包中解密出来的上线信息,从而快速定位失陷主机。


优发国际·随优而动一触即发


4月11日 15:02


在受害主机毗连上C2服务器4分钟后,攻击者便最先对受害主机举行远程控制。此时,XDR系统响起了最严重的“远程控制”告警。


经由XDR对攻击事务准确的勾勒,攻击者一连串重大的操作清晰地展示眼前。清静职员依赖XDR关于攻击事务的详细展示完成了瞬间“破案”,并实时阻止了攻击的进一步生长。


“猎狐”行动总结


从银狐木马事务可以看出,攻击者种种攻击手段一直升级。而目今清静运营的逆境,在于网、端告警相互伶仃,没有关联剖析,形成数据孤岛。


另一方面随着安排的清静装备越来越多,爆发海量告警,基础看不完。当清静事务爆发,依赖于职员水平举行事务还原,耗时艰辛且难以完成。以上种种造成告警看不完、告警不会剖析、真正的告警被遗漏。


XDR产品怎样解决清静运营的逆境?


XDR接纳自动告警降噪手艺,无需人工干预,即可实时对告警降噪,能够做到100000:1的告警降噪,万万级告警降噪到日均百条以下。


同时,不依赖于使用职员履历,基于告警降噪、关联剖析之上,实现清静运营高阶智能驾驶,可自动还原攻击故事线,实现完整路径泛起、全攻击阶段笼罩、完整攻击历史复盘、网端关联剖析。


XDR让清静运营职员人人皆可“猎狐”。