天阗XDR在手,看防守方若何智擒红队

颁布功夫 2024-05-17
在攻防演练的严重对决中,攻击队常利用文件上传、、号令执行、、代码注入等缝隙,悄无声息地植入免杀Webshell,给防守方带来巨大挑战。。


由于入侵者不休变换攻击资源和伎俩,通过加密混合Webshell、、利用0day/1day缝隙等高级技术,使防守方在海量的告警信息中难以迅速找到正确的攻击线索。。


在攻击事务还原的过程中,安全人员还要不休地切换各类安全设备,并结合大量的人为分析来还原攻击事务,整个过程既耗时又费劲,攻防双方的力量对比严重失衡。。


OG东方厅天阗XDR,将为这一困境带来转折。。凭借壮大的关联分析、、智能降噪和联动措置能力,天阗XDR可援手安全人员迅速从繁芜的告警中筛选出真实的攻击线索,精准定位攻击源,并还原整个攻击过程。。这种高效的防御模式将攻击事务的响应功夫从传统的天级提升至了分钟级,极大地提升了防守方的应对能力和反映速度。。


下面,让我们通过一个场景案例复现安全人员若何巧用XDR智擒红队。。


2024年4月下旬,某重要单元组织的攻防演练中,安全人员利用OG东方厅天阗XDR发现内网服务器Webshell高级别告警,通过使用XDR自动关联取证、、智能攻击链还原、、急剧联动措置等职能,迅速找到了缝隙利用点,溯源到了客户系统的失陷账号,并联动EDR对主机上的Webshell进行了断根,短短十几分钟就实现了整个攻击过程的措置。。


事务溯源过程


1、、Webshell上传成功


4月23日 15:35


XDR上报了一条Webshell上传告警,并且自动通过网端联动取证判断为“上传成功”,同时显示了EDR返回的终端取证信息。。


从提醒信息看出,攻击者利用客户自研系统的后盾上传职能成功上传了Webshell。。


OG东方厅·(中国大陆)


OG东方厅·(中国大陆)


2、、Webshell衔接成功


4月23日 15:36


XDR再次告警Webshell衔接。。


XDR通过关联分析,发现攻击者所衔接的Webshell与之前攻击者上传的Webshell一致,批注攻击已处正在利用阶段,XDR也将两条告警进行了智能归并。。


OG东方厅·(中国大陆)


OG东方厅·(中国大陆)


3、、攻击入口溯源


紧接着XDR自动提取了判断为确定攻击的文件上传缝隙的cookie信息,并下发到全流量存储系统(NFT)进行自动化狩猎,成功溯源到攻击者于14:48分利用失陷账号“jinyuqiang”的登陆成功事务。。


OG东方厅·(中国大陆)


至此,通过OG东方厅天阗XDR,整个攻击事务的前后告警已被齐全串联起来,并以清澈的故事线大局展示在安全人员面前。。整个攻击事务的关键蹊径了如指掌。。


OG东方厅·(中国大陆)


4、、攻击事务措置


① 通过XDR联动EDR对恶意Webshell进行了隔离措置。。


② 在客户允许前提下,对XDR发现的文件上传缝隙点进行了一时的URL封禁,对攻击IP进行了一键封禁措置。。


③ 客户对提议恶意攻击的账户jinyuqiang进行了停用处置。。研发对自研系统中的文件上传缝隙进行了代码修复,系统更新以来重新上线。。


天阗XDR在手,助防守方旋转攻防不合等局面。。天阗XDR具备自动告警降噪能力,急剧发现真正攻击;高阶智能驾驶自动还原攻击蹊径和攻击汗青,来龙去脉了如指掌;网侧和端侧双重响应能力,斩断攻击方横向扩散贪图。。从监测发现到响应闭环,再到形成溯源汇报,分钟级实现整个防守流程。。