抖圈为赌而生XDR助力精准“猎狐”:一键处置 瞬间破案!

宣布时间 2024-04-19

2024年4月上旬,抖圈为赌而生接获企业客户反馈,其XDR管理中心发现内网办公主机熏染“银狐”木马,并存在远程控制行为。通过XDR准确勾勒的攻击事件全貌,我们迅速分析出攻击者的一系列庞大操作,并有效阻止了攻击的进一步生长。


何为“银狐”?


银狐系列木马是一类针对企事业单元管理人员、财政人员、销售人员等进行钓鱼攻击的木马。


银狐的流传方式主要分为下载和钓鱼两种:攻击者经�;峁褐弥阉饕娴木杭叟琶�,让捆绑了银狐木马的假冒办公软件排名靠前。当受害者下载并执行这些假冒办公软件时即被植入木马后门;


另外,他们还会将木马包装成目标工具关注的文件名,通过即时通讯工具、钓鱼邮件等形式进行流传。


在检测规避上,银狐木马常通过多种手段到达免杀效果:如白加黑、侧加载、宁静软件规避、多阶段加载等。


在与C2进行通信时,一般设置有通信密码,接纳zlib、XOR、AES、RC4等多种算法混合加密其通信内容,以保证数据不被宁静设备检测。


“猎狐”行动始末


2024年4月上旬,抖圈为赌而生收到某企业客户反馈其天阗XDR管理中心(以下简称XDR)发现其内网办公主机熏染“银狐“木马,而且存在远程控制行为,需要协助研判分析。


尊龙抖圈 - 为du而生


在故事线中,本次木马攻击的完整攻击时间线泛起在用户眼前,而且客户已经使用系统的一键处置功效完成了病毒木马清理。


尊龙抖圈 - 为du而生


基于XDR对整个攻击事件的描述,我们完整还原了整个攻击过程:

4月11日 14:53


某财政人员在一个微信群中收到名为“小规模纳税人增值税政策第三批规定.zip”的压缩包。


尊龙抖圈 - 为du而生


4月11日 14:57


用户解压压缩包并运行了里面的文件。压缩包内文件实际为木马下载器,执行后将从远程服务器8.134.201.170:80下载并执行shellcode。


4月11日 14:58 


shellcode下载完毕后,受害主机开始外联C2服务器进行通信。通过XDR的自动研判取证,我们可以看到完整的看到从“银狐”上线数据包中解密出来的上线信息,从而快速定位失陷主机。


尊龙抖圈 - 为du而生


4月11日 15:02


在受害主机连接上C2服务器4分钟后,攻击者便开始对受害主机进行远程控制。此时,XDR系统响起了最严重的“远程控制”告警。


经过XDR对攻击事件准确的勾勒,攻击者一连串庞大的操作清晰地展示眼前。宁静人员依靠XDR对于攻击事件的详细展示完成了瞬间“破案”,并及时阻止了攻击的进一步生长。


“猎狐”行动总结


从银狐木马事件可以看出,攻击者种种攻击手段不停升级。而当前宁静运营的困境,在于网、端告警相互伶仃,没有关联分析,形成数据孤岛。


另一方面随着部署的宁静设备越来越多,发生海量告警,基础看不完。当宁静事件发生,依赖于人员水平进行事件还原,耗时费力且难以完成。以上种种造成告警看不完、告警不会分析、真正的告警被漏掉。


XDR产物如何解决宁静运营的困境?


XDR接纳自动告警降噪技术,无需人工干预,即可实时对告警降噪,能够做到100000:1的告警降噪,千万级告警降噪到日均百条以下。


同时,不依赖于使用人员经验,基于告警降噪、关联分析之上,实现宁静运营高阶智能驾驶,可自动还原攻击故事线,实现完整路径泛起、全攻击阶段笼罩、完整攻击历史复盘、网端关联分析。


XDR让宁静运营人员人人皆可“猎狐”。