啥?接下來每天都能“釣魚”?
“是挺不錯的,可以約下面試。”用人部門回覆的也非常乾脆。
不過,在發出面試邀請之後,這名HR等到的並不是候選人的同意,而是公司網絡安全部門的小窗:你好,我們這邊收到OneSEC告警,顯示你電腦疑似感染木馬……
這是去年8月發生的,一次利用社交軟件的釣魚攻擊。
在去年攻防演習期間微步捕獲的數百個釣魚樣本中,釣魚佬使用了各種迷惑性的主題,如簡歷、喫瓜、騷擾、曝光、補貼、社保、薪資等,總之一切可以吸引人眼球的東西,用於吸引受害者的點擊。
![](https://img1.headline01.com/images/32/1f/321fb9181cd318c77bf9c8e223d6c2cbf04fc84d.jpg?wx_fmt=png&from=appmsg)
漏洞觸發後,會反連一個外部鏈接並遠程下載惡意文件,從而執行後續攻擊命令。
![](https://img1.headline01.com/images/32/1f/321fb9181cd318c77bf9c8e223d6c2cbf04fc84d.jpg?wx_fmt=png&from=appmsg)
同樣是去年8月,微步捕獲了一個文件名爲xxx詳細規範.docx(實際後綴爲.exe)的釣魚文件。應用程序執行後,會在特定目錄下創建一個白文件(具備合法簽名)和一個惡意dll,以“白加黑”的方式繞過殺軟檢測。
![](https://img1.headline01.com/images/32/1f/321fb9181cd318c77bf9c8e223d6c2cbf04fc84d.jpg?wx_fmt=png&from=appmsg)
在微步捕獲的銀狐黑產工具中,利用圖片隱寫Shellcode已經被廣泛使用。攻擊者在誘導用戶點擊釣魚程序後會返連C2,然後將一張圖片加載到內存中。用戶看到的就是一張圖片(不影響圖片的正常顯示),但在內存中該圖片會解密釋放出惡意代碼,並創建計劃任務實現開機啓動。
整個過程沒有任何傳統意義上的惡意文件下載到硬盤上。
由於免殺效果好,上述攻擊手法受到了攻擊者的廣泛歡迎,並大量應用於實戰攻防演習。
因此,相較於依賴殺軟,保持警惕性纔是拒絕網絡攻擊的第一準則,比如不點擊安全性未知的文件、鏈接,不插來源不明的U盤等,不給釣魚佬可乘之機。
但即便釣不到魚,釣魚佬也不會坐等空軍,因爲他們還會“下網捕魚”。
例如軟件供應鏈攻擊。
去年8月,OneSEC檢測到某用戶辦公電腦啓動了惡意dll和遠控軟件。
安全人員本以爲是一次常規的釣魚攻擊,但分析顯示,攻擊者劫持了某辦公軟件的雲服務進程,向用戶投遞惡意代碼。惡意代碼會拉取遠控軟件,幫助攻擊者完成後續攻擊行爲。整個過程沒有任何用戶交互動作,與釣魚毫無關係。
顯而易見,基於文件檢測技術的殺軟,在終端上的攻防對抗已捉襟見肘。
但有一點可以確定,0day利用也好、無文件攻擊也罷,任何網絡攻擊都需要一系列行爲去支撐,包括但不限於進程創建、驅動程序加載、註冊表修改、磁盤訪問、內存訪問和網絡連接等,從而實現竊取、提權、橫移、持久化等多種目的。
EDR的出現,能夠很大程度上彌補殺毒軟件在行爲發現方面的缺失。這話說起來容易,但想要做到並非易事。
首先是具備全量終端行爲事件採集能力,這是發現異常的前提。事件採集既要足夠全面,具備足夠細的顆粒度,也要遵循最小必要原則,不過多佔用內存、帶寬等系統資源。OneSEC支持採集100多種終端行爲數據,全面覆蓋網絡、文件、進程、註冊表、外設、內存等各個類型。
其次是具備精準的檢測能力,從海量行爲數據中準確發現異常,誤報、漏報都要儘可能降低。OneSEC具備百億級別的雲查Hash、失陷檢測IoC、行爲檢測IoA、圖關聯檢測等多項檢測技術綜合判定產生告警。如果發現有內存注入等可疑行爲,還會調用內存掃描,檢測注入到內存中的惡意代碼。
文檔運行後產生了與無關的網絡活動,反連可疑鏈接; 在特定目錄下創建了一個白文件和一個可疑dll文件; dll文件執行後,會從雲端加載下一階段攻擊載荷,反連C2來控制受害主機。
殺軟報毒→殺掉相關進程→以爲沒事了→進程復活了→再次kill……
只定位到了惡意進程,但並不明確是誰在反覆啓動相關進程,只會陷入上述死循環中。
想要跳出循環,要麼“break”直接終止處置過程;要麼觸發了關鍵結果,“continue”到下一個階段。
這個關鍵結果就是攻擊源。
OneSEC具備追溯到執行源頭的串鏈能力,可以準確定位釣魚攻擊源頭,包括攻擊源、事件源、進程源,爲響應處置提供準確依據。如下圖所示:
在此基礎上,OneSEC提供了豐富的響應動作和逆向操作:包括基礎的隔離文件、隔離進程、隔離終端、阻斷網絡,高階的持久化清理如服務禁用、註冊表清理、註冊表刪除及其逆向操作等,可根據攻擊過程自動化生成處置建議,對常見威脅下發自動化響應策略。
由微步專家團隊在雲端對OneSEC每日告警進行研判,給出處置建議; 依託於產品能力下發處置動作,協助用戶進行處置閉環; 針對高危事件提供整體分析結果,包括時間線、影響面、攻擊手法、處置建議等; 協助用戶對產品進行策略優化,提高防禦和運營效率; 針對APT、流行性木馬等風險項,開展威脅分析和拓線,發現潛在的攻擊行爲; 對安全態勢、事件追蹤、處置結果等,輸出週期性彙總報告。
在特殊時期(你懂得),用戶可以開啓重保模式,可基於重保情報進行檢測與快速響應。
事實上,OneSEC共包含了五大模塊:EDR、殺毒、MEDR、終端管控和OneDNS。這五大模塊各司其職、互不耦合,既可獨立部署,也支持按需插件式啓用。
所有這些只需要一次安裝一個輕量級Agent,而且能夠和企業現有的終端安全產品完美兼容。
在OneSEC Mac版的正式發佈之後,OneSEC已完成了對Windows終端和Mac終端的全覆蓋,安全運營人員可通過服務端對各分支機構、不同類型終端進行統一管理。
隨着網絡安全防禦體系的日漸完善,想要直接突破網絡邊界已經變得不那麼容易。因此,針對辦公終端的攻擊,變得越來越普遍。得手之後,攻擊隊可以迅速在辦公網內部橫向移動,尋找機會拿下靶標。
微步OneSEC就是那名終端守護者。
![](https://img1.headline01.com/images/ae/8b/ae8b65e7f76ddb85ab38269bf759d8888ae217d6.jpg?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp)
![](https://img1.headline01.com/images/a9/2f/a92fb133e582cb4d5f8fdc569c1613afcb05499f.jpg?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp)
![](https://img1.headline01.com/images/e9/c7/e9c7a5626dd64012bbd5877dbb7803beb395023d.jpg?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp)