首頁 > 關于我們 > 新聞動態 > 產品動態

啟明星辰XDR助力精準“獵狐”:一鍵處置 瞬間破案!

發布時間 2024-04-19

2024年4月上旬,啟明星辰接獲企業客戶反饋,其XDR管理中心發現內網辦公主機感染“銀狐”木馬,并存在遠程控制行為。通過XDR準確勾勒的攻擊事件全貌,我們迅速分析出攻擊者的一系列復雜操作,并有效阻止了攻擊的進一步發展。


何為“銀狐”?


銀狐系列木馬是一類針對企事業單位管理人員、財務人員、銷售人員等進行釣魚攻擊的木馬。


銀狐的傳播方式主要分為下載和釣魚兩種:攻擊者經常會購買知名搜索引擎的競價排名,讓捆綁了銀狐木馬的假冒辦公軟件排名靠前。當受害者下載并執行這些假冒辦公軟件時即被植入木馬后門;


另外,他們還會將木馬包裝成目標對象關注的文件名,通過即時通訊工具、釣魚郵件等形式進行傳播。


在檢測規避上,銀狐木馬常通過多種手段達到免殺效果:如白加黑、側加載、安全軟件規避、多階段加載等。


在與C2進行通信時,一般設置有通信密碼,采用zlib、XOR、AES、RC4等多種算法混合加密其通信內容,以保證數據不被安全設備檢測。


“獵狐”行動始末


2024年4月上旬,啟明星辰收到某企業客戶反饋其天闐XDR管理中心(以下簡稱XDR)發現其內網辦公主機感染“銀狐“木馬,并且存在遠程控制行為,需要協助研判分析。



在故事線中,本次木馬攻擊的完整攻擊時間線呈現在用戶眼前,并且客戶已經使用系統的一鍵處置功能完成了病毒木馬清理。



基于XDR對整個攻擊事件的描述,我們完整還原了整個攻擊過程:

4月11日 14:53


某財務人員在一個微信群中收到名為“小規模納稅人增值稅政策第三批規定.zip”的壓縮包。



4月11日 14:57


用戶解壓壓縮包并運行了里面的文件。壓縮包內文件實際為木馬下載器,執行后將從遠程服務器8.134.201.170:80下載并執行shellcode。


4月11日 14:58 


shellcode下載完畢后,受害主機開始外聯C2服務器進行通信。通過XDR的自動研判取證,我們可以看到完整的看到從“銀狐”上線數據包中解密出來的上線信息,從而快速定位失陷主機。



4月11日 15:02


在受害主機連接上C2服務器4分鐘后,攻擊者便開始對受害主機進行遠程控制。此時,XDR系統響起了最嚴重的“遠程控制”告警。


經過XDR對攻擊事件準確的勾勒,攻擊者一連串復雜的操作清晰地展示眼前。安全人員依靠XDR對于攻擊事件的詳細展示完成了瞬間“破案”,并及時阻止了攻擊的進一步發展。


“獵狐”行動總結


從銀狐木馬事件可以看出,攻擊者各種攻擊手段不斷升級。而當前安全運營的困境,在于網、端告警相互孤立,沒有關聯分析,形成數據孤島。


另一方面隨著部署的安全設備越來越多,產生海量告警,根本看不完。當安全事件發生,依賴于人員水平進行事件還原,耗時費力且難以完成。以上種種造成告警看不完、告警不會分析、真正的告警被漏掉。


XDR產品如何解決安全運營的困境?


XDR采用自動告警降噪技術,無需人工干預,即可實時對告警降噪,能夠做到100000:1的告警降噪,千萬級告警降噪到日均百條以下。


同時,不依賴于使用人員經驗,基于告警降噪、關聯分析之上,實現安全運營高階智能駕駛,可自動還原攻擊故事線,實現完整路徑呈現、全攻擊階段覆蓋、完整攻擊歷史復盤、網端關聯分析。


XDR讓安全運營人員人人皆可“獵狐”。

上一篇 下一篇