安讯XDR助力精准“猎狐”:一键处置 瞬间破案!
发布时间 2024-04-192024年4月上旬,安讯接获企业客户反馈,其XDR管理中心发现内网办公主机感染“银狐”木马,并存在远程控制行为。通过XDR准确勾勒的攻击事件全貌,我们迅速分析出攻击者的一系列复杂操作,并有效阻止了攻击的进一步发展。
何为“银狐”?
银狐系列木马是一类针对企事业单位管理人员、财务人员、销售人员等进行钓鱼攻击的木马。
银狐的传播方式主要分为下载和钓鱼两种:攻击者经常会购买知名搜索引擎的竞价排名,让捆绑了银狐木马的假冒办公软件排名靠前。当受害者下载并执行这些假冒办公软件时即被植入木马后门;
另外,他们还会将木马包装成目标对象关注的文件名,通过即时通讯工具、钓鱼邮件等形式进行传播。
在检测规避上,银狐木马常通过多种手段达到免杀效果:如白加黑、侧加载、安全软件规避、多阶段加载等。
在与C2进行通信时,一般设置有通信密码,采用zlib、XOR、AES、RC4等多种算法混合加密其通信内容,以保证数据不被安全设备检测。
“猎狐”行动始末
2024年4月上旬,安讯收到某企业客户反馈其天阗XDR管理中心(以下简称XDR)发现其内网办公主机感染“银狐“木马,并且存在远程控制行为,需要协助研判分析。
在故事线中,本次木马攻击的完整攻击时间线呈现在用户眼前,并且客户已经使用系统的一键处置功能完成了病毒木马清理。
基于XDR对整个攻击事件的描述,我们完整还原了整个攻击过程:
4月11日 14:53
某财务人员在一个微信群中收到名为“小规模纳税人增值税政策第三批规定.zip”的压缩包。
4月11日 14:57
用户解压压缩包并运行了里面的文件。压缩包内文件实际为木马下载器,执行后将从远程服务器8.134.201.170:80下载并执行shellcode。
4月11日 14:58
shellcode下载完毕后,受害主机开始外联C2服务器进行通信。通过XDR的自动研判取证,我们可以看到完整的看到从“银狐”上线数据包中解密出来的上线信息,从而快速定位失陷主机。
4月11日 15:02
在受害主机连接上C2服务器4分钟后,攻击者便开始对受害主机进行远程控制。此时,XDR系统响起了最严重的“远程控制”告警。
经过XDR对攻击事件准确的勾勒,攻击者一连串复杂的操作清晰地展示眼前。安全人员依靠XDR对于攻击事件的详细展示完成了瞬间“破案”,并及时阻止了攻击的进一步发展。
“猎狐”行动总结
从银狐木马事件可以看出,攻击者各种攻击手段不断升级。而当前安全运营的困境,在于网、端告警相互孤立,没有关联分析,形成数据孤岛。
另一方面随着部署的安全设备越来越多,产生海量告警,根本看不完。当安全事件发生,依赖于人员水平进行事件还原,耗时费力且难以完成。以上种种造成告警看不完、告警不会分析、真正的告警被漏掉。
XDR产品如何解决安全运营的困境?
XDR采用自动告警降噪技术,无需人工干预,即可实时对告警降噪,能够做到100000:1的告警降噪,千万级告警降噪到日均百条以下。
同时,不依赖于使用人员经验,基于告警降噪、关联分析之上,实现安全运营高阶智能驾驶,可自动还原攻击故事线,实现完整路径呈现、全攻击阶段覆盖、完整攻击历史复盘、网端关联分析。
XDR让安全运营人员人人皆可“猎狐”。