一键还原攻击现场,看XDR如何智斗勒索
发布时间 2024-07-26前言:
勒索软件攻击已成为企业面临的主要网络安全威胁之一,其高隐蔽性、高破坏性和勒索性,给受害者带来了巨大损失。然而,随着技术的不断进步,扩展检测与响应(XDR)系统正成为抵御此类攻击的强大武器。本文将通过实际案例,展示XDR如何精准还原勒索攻击现场,为安全运营人员提供有力支持。
2024年5月,某客户现场安装的EDR突然发出文件被异常篡改的勒索行为告警,同时NDR和沙箱也产生了多次恶意行为告警,这引起了安全运营人员的密切注意。
攻击者是如何进入内网的?都有哪些资产受到影响?该如何清理被攻击者感染过的主机?面对这一紧急情况,这三大问题成为了客户亟待了解的焦点。
以往解决这些问题,需要专业的研究人员进行分析溯源,但是本次攻击涉及到的主机众多,攻击者又使用了多种攻击手法。看到这密密麻麻的告警事件和关联IP,纵使身经百战的研判人员也不禁叹气。
但幸运的是,由于客户现场部署了天阗XDR系统,安全运营人员可以利用天阗XDR强大的故事线还原功能,通过其聚合并降噪来自不同安全工具的告警信息,同时利用其自动化取证技术,还原出攻击的时间线和故事线。
如上图所展示,天阗XDR的智能聚合能力,可将众多事件聚合成为关键攻击节点,并按照故事线进行排列,使故事线一目了然。
此前在《看天阗AI智能体如何赋能XDR实现高阶智能驾驶》一文中,我们已介绍,安讯XDR实现了天阗AI智能体的赋能,可以对各种检测单元进行智能调度,实现智能告警分析、自动生成分析报告。在本次攻击事件回顾中,我们也采用了天阗AI智能体进行简单总结,内容包括受影响的主机和用户、恶意文件以及外联C2地址等关键信息。
从故事线中可以看到,攻击者在5月23日14:21分通过暴力破解使用sa用户登录MSSQL服务器。随后通过MSSQL中的xp_cmdshell来执行Powershell下载命令,尝试将恶意文件落地并执行。紧接着,攻击者开始尝试进行横向移动,并使用了不同的手法进行传播。具体如下:
1、15:07,攻击者尝试使用SMB协议将恶意文件投递到其他主机上,可以通过点击“SMB操作-文件复制”节点来查看SMB传输的详细信息,同时XDR的沙箱联动功能也会将对应样本的运行结果展示在下方。
2、15:11,攻击者尝试通过impacket工具中的smbexec脚本在受害者主机上执行命令,点击对应的“命令执行”节点,可查看到攻击者执行的每条指令。
通过执行详情和进程树,可以判断攻击者尝试使用DESKTOP-EVWZQ36/admin的用户凭据,通过远程服务来执行命令。原理为使用echo将命令写入%SYSTEMROOT%文件夹下随机名称的bat中,随后执行并删除。
3、17:52,攻击者在内网利用永恒系列漏洞感染更多的主机,并尝试植入后门。XDR的自动化取证功能通过将永恒之蓝的shellcode上传到沙箱中,最终识别到攻击者尝试植入CobaltStrike。
最后,利用天阗XDR的联动响应功能,研究人员迅速处理了所有主机相关风险项并将C2加入了防火墙黑名单,客户最关心的三个问题也都迎刃而解。
本案例充分展示了天阗XDR在应对勒索软件攻击中的重要作用。通过攻击行为自动化取证、沙箱联动以及故事线还原、时间线还原等功能,天阗XDR不仅简化了安全分析人员的工作流程,还提高了应对网络威胁的效率和准确性,让攻击行为无所遁形。