首頁 > 關于我們 > 新聞動態 > 產品動態

天闐XDR實戰案例:破解加密流量的新思路

發布時間 2024-07-04

面對日益嚴峻的網絡安全挑戰,加密流量中潛藏的惡意軟件威脅變得愈加隱蔽與復雜。本文分享了一個天闐XDR的實戰應用案例:通過充分利用XDR的智能檢測與智能分析研判等核心能力,用戶實現了對潛在安全風險的迅速識別與高效處置,為破解加密流量檢測難題提供了新思路和實踐范例。


迷 影 重 重 


隨著用戶安全意識的提高,企業和個人用戶更傾向于使用加密技術保護數據,HTTPS/TLS協議逐漸成為互聯網通信的標準,全球加密流量總量顯著增加。


但這一趨勢也為惡意軟件提供了一個理想的掩護環境,因為HTTPS/TLS可以幫助惡意軟件躲避傳統的基于簽名或基于內容檢查的安全解決方案。大多數網絡監控設備在面對加密流量時,很難區分其是合法通信還是惡意活動。


為有效應對加密流量檢測難題,一種有效的策略是通過業務流量基線自學習進行預處理過濾,使用流量行為、域名、指紋、證書、包深度檢測等多維小模型進行檢測,最后對多模型預測結果進行綜合決策得出最終檢測結果。


然而,即使能夠檢測到惡意軟件加密流量,告警后的研判內容往往難以理解,需要高度的專業性和學習成本,這對用戶來說是一個不小的挑戰。他們經常需要判斷這些檢測結果是否真實反映了惡意流量,還是僅僅是一次合法的業務誤報。


如何實現惡意軟件加密流量的精準快速檢測和智能分析研判?下面我們讓我們一起通過一個實戰案例,看天闐XDR如何迷影尋蹤。



XDR 智 能 尋 蹤



2024年4月,某政府行業安全運維人員收到天闐XDR的告警通知,發現HTTPS惡意通信流量告警,疑似CobaltStrike木馬,隨即啟動緊急排查流程。


圖片1.jpg


在告警詳情中可以看到,HTTPS加密隧道檢測模型通過多維檢測得出該流量的威脅評分高達93。


隨即天闐XDR觸發自動取證研判任務,從終端側EDR拉取進程文件信息、文件自動投遞沙箱進行動態行為檢測、檢索域名威脅情報標簽、全流下發查詢通聯訪問關系。同時,天闐XDR對取證返回結果進行自動化分析并展示。這一系列操作無需人工干預,全部自動完成。


圖片2.jpg


從取證信息中可以看到,HTTPS檢測模型分析出與CobaltStrike相似度為91%。此外,文件在沙箱動態檢測中被識別為與海蓮花APT組織相關聯。因此,天闐XDR自動研判分析該告警為疑似海蓮花CobaltStrike木馬,并同時還原出整個攻擊故事線。


圖片3.jpg


后續,運維人員在根據故事線進行人工取證溯源排查后發現,用戶的確遭受釣魚攻擊,海蓮花APT使用偽裝成“工資調整”“公積金調整”等誘餌文件來迷惑受害者點擊,并利用白加黑技術加載CobaltStrike HTTPS隧道木馬進行上線遠控。


圖片4.jpg


受害主機上線不久后,攻擊者立馬開始對目標進行遠程控制。通過建立的HTTPS隧道下發各類掃描工具,嘗試進行網絡橫向滲透。


圖片5.jpg


最后,現場處置人員通過一鍵處置功能完成木馬的取證及清理。從檢測、研判到處置,整個過程在短短幾分鐘內就已全部完成,有效遏制了潛在風險的蔓延。


天闐XDR基于告警降噪、關聯分析能力,自動甄別出準確的加密流量告警事件,自動還原出整個事件的來龍去脈,包括完整路徑呈現、全攻擊階段覆蓋、完整攻擊歷史復盤、攻擊時間線呈現,同時可以網端關聯、一鍵聯動端側進行處置閉環。如同客戶身邊的安全專家,幫助客戶解決惡意軟件加密流量難檢測、難研判的問題。

上一篇 下一篇