新澳门新葡萄娱乐XDR助力精准“猎狐”:一键处置 瞬间破案!

发布时间 2024-04-19

2024年4月上旬,新澳门新葡萄娱乐接获企业客户反馈,其XDR管理中心发现内网办公主机感染“银狐”木马,并存在远程控制行为。通过XDR准确勾勒的攻击事件全貌,我们迅速分析出攻击者的一系列复杂操作,并有效阻止了攻击的进一步发展。


何为“银狐”?


银狐系列木马是一类针对企事业单位管理人员、财务人员、销售人员等进行钓鱼攻击的木马。


银狐的传播方式主要分为下载和钓鱼两种:攻击者经常会购买知名搜索引擎的竞价排名,让捆绑了银狐木马的假冒办公软件排名靠前。当受害者下载并执行这些假冒办公软件时即被植入木马后门;


另外,他们还会将木马包装成目标对象关注的文件名,通过即时通讯工具、钓鱼邮件等形式进行传播。


在检测规避上,银狐木马常通过多种手段达到免杀效果:如白加黑、侧加载、安全软件规避、多阶段加载等。


在与C2进行通信时,一般设置有通信密码,采用zlib、XOR、AES、RC4等多种算法混合加密其通信内容,以保证数据不被安全设备检测。


“猎狐”行动始末


2024年4月上旬,新澳门新葡萄娱乐收到某企业客户反馈其天阗XDR管理中心(以下简称XDR)发现其内网办公主机感染“银狐“木马,并且存在远程控制行为,需要协助研判分析。



在故事线中,本次木马攻击的完整攻击时间线呈现在用户眼前,并且客户已经使用系统的一键处置功能完成了病毒木马清理。



基于XDR对整个攻击事件的描述,我们完整还原了整个攻击过程:

4月11日 14:53


某财务人员在一个微信群中收到名为“小规模纳税人增值税政策第三批规定.zip”的压缩包。



4月11日 14:57


用户解压压缩包并运行了里面的文件。压缩包内文件实际为木马下载器,执行后将从远程服务器8.134.201.170:80下载并执行shellcode。


4月11日 14:58 


shellcode下载完毕后,受害主机开始外联C2服务器进行通信。通过XDR的自动研判取证,我们可以看到完整的看到从“银狐”上线数据包中解密出来的上线信息,从而快速定位失陷主机。



4月11日 15:02


在受害主机连接上C2服务器4分钟后,攻击者便开始对受害主机进行远程控制。此时,XDR系统响起了最严重的“远程控制”告警。


经过XDR对攻击事件准确的勾勒,攻击者一连串复杂的操作清晰地展示眼前。安全人员依靠XDR对于攻击事件的详细展示完成了瞬间“破案”,并及时阻止了攻击的进一步发展。


“猎狐”行动总结


从银狐木马事件可以看出,攻击者各种攻击手段不断升级。而当前安全运营的困境,在于网、端告警相互孤立,没有关联分析,形成数据孤岛。


另一方面随着部署的安全设备越来越多,产生海量告警,根本看不完。当安全事件发生,依赖于人员水平进行事件还原,耗时费力且难以完成。以上种种造成告警看不完、告警不会分析、真正的告警被漏掉。


XDR产品如何解决安全运营的困境?


XDR采用自动告警降噪技术,无需人工干预,即可实时对告警降噪,能够做到100000:1的告警降噪,千万级告警降噪到日均百条以下。


同时,不依赖于使用人员经验,基于告警降噪、关联分析之上,实现安全运营高阶智能驾驶,可自动还原攻击故事线,实现完整路径呈现、全攻击阶段覆盖、完整攻击历史复盘、网端关联分析。


XDR让安全运营人员人人皆可“猎狐”。