首頁 > 關于我們 > 新聞動態 > 產品動態

一鍵還原攻擊現場,看XDR如何智斗勒索

發布時間 2024-07-26

前言:


勒索軟件攻擊已成為企業面臨的主要網絡安全威脅之一,其高隱蔽性、高破壞性和勒索性,給受害者帶來了巨大損失。然而,隨著技術的不斷進步,擴展檢測與響應(XDR)系統正成為抵御此類攻擊的強大武器。本文將通過實際案例,展示XDR如何精準還原勒索攻擊現場,為安全運營人員提供有力支持。



2024年5月,某客戶現場安裝的EDR突然發出文件被異常篡改的勒索行為告警,同時NDR和沙箱也產生了多次惡意行為告警,這引起了安全運營人員的密切注意。


攻擊者是如何進入內網的?都有哪些資產受到影響?該如何清理被攻擊者感染過的主機?面對這一緊急情況,這三大問題成為了客戶亟待了解的焦點。


以往解決這些問題,需要專業的研究人員進行分析溯源,但是本次攻擊涉及到的主機眾多,攻擊者又使用了多種攻擊手法??吹竭@密密麻麻的告警事件和關聯IP,縱使身經百戰的研判人員也不禁嘆氣。


但幸運的是,由于客戶現場部署了天闐XDR系統,安全運營人員可以利用天闐XDR強大的故事線還原功能,通過其聚合并降噪來自不同安全工具的告警信息,同時利用其自動化取證技術,還原出攻擊的時間線和故事線。


圖片1.jpg


如上圖所展示,天闐XDR的智能聚合能力,可將眾多事件聚合成為關鍵攻擊節點,并按照故事線進行排列,使故事線一目了然。


此前在《看天闐AI智能體如何賦能XDR實現高階智能駕駛》一文中,我們已介紹,啟明星辰XDR實現了天闐AI智能體的賦能,可以對各種檢測單元進行智能調度,實現智能告警分析、自動生成分析報告。在本次攻擊事件回顧中,我們也采用了天闐AI智能體進行簡單總結,內容包括受影響的主機和用戶、惡意文件以及外聯C2地址等關鍵信息。


從故事線中可以看到,攻擊者在5月23日14:21分通過暴力破解使用sa用戶登錄MSSQL服務器。隨后通過MSSQL中的xp_cmdshell來執行Powershell下載命令,嘗試將惡意文件落地并執行。緊接著,攻擊者開始嘗試進行橫向移動,并使用了不同的手法進行傳播。具體如下:


1、15:07,攻擊者嘗試使用SMB協議將惡意文件投遞到其他主機上,可以通過點擊“SMB操作-文件復制”節點來查看SMB傳輸的詳細信息,同時XDR的沙箱聯動功能也會將對應樣本的運行結果展示在下方。


圖片2.jpg


2、15:11,攻擊者嘗試通過impacket工具中的smbexec腳本在受害者主機上執行命令,點擊對應的“命令執行”節點,可查看到攻擊者執行的每條指令。


圖片3.jpg


通過執行詳情和進程樹,可以判斷攻擊者嘗試使用DESKTOP-EVWZQ36/admin的用戶憑據,通過遠程服務來執行命令。原理為使用echo將命令寫入%SYSTEMROOT%文件夾下隨機名稱的bat中,隨后執行并刪除。


3、17:52,攻擊者在內網利用永恒系列漏洞感染更多的主機,并嘗試植入后門。XDR的自動化取證功能通過將永恒之藍的shellcode上傳到沙箱中,最終識別到攻擊者嘗試植入CobaltStrike。


圖片4.jpg


最后,利用天闐XDR的聯動響應功能,研究人員迅速處理了所有主機相關風險項并將C2加入了防火墻黑名單,客戶最關心的三個問題也都迎刃而解。


本案例充分展示了天闐XDR在應對勒索軟件攻擊中的重要作用。通過攻擊行為自動化取證、沙箱聯動以及故事線還原、時間線還原等功能,天闐XDR不僅簡化了安全分析人員的工作流程,還提高了應對網絡威脅的效率和準確性,讓攻擊行為無所遁形。

上一篇 下一篇