360攻擊痕跡檢測上新

2024-06-19 21:43:17
我要分享


微信掃碼分享

功能上新

360的系統(tǒng)日志溯源功能自上線以來廣受用戶好評，該功能對于幫助那些在遭遇攻擊前并未安裝360安全產(chǎn)品的用戶進行溯源排查有著顯著的效果。其可通過對當(dāng)前系統(tǒng)日志的自動掃描及分析快速定位攻擊來源，理清攻擊思路以便進一步做出針對性的防護與加固。

在2024護網(wǎng)季來臨前，我們對此項完全基于本地系統(tǒng)日志的基礎(chǔ)溯源功能進行了一次全面升級。新增數(shù)百項滲透痕跡的檢出能力，并對每項檢出都做了簡要的描述。在遭受攻擊之前并未安裝360安全產(chǎn)品的環(huán)境中也能通過讀取有限的系統(tǒng)日志，幫助廣大管理員與安服人員快速定位攻擊的時段及來源，同時針對某些典型場景下的攻擊思路提出專門的防護建議。

功能提升點

在此次“上新”的功能中，有一些頗為值得一提的能力提升。而恰恰就是這種在細節(jié)功能點上的升級，往往能夠在提高整體溯源能力、協(xié)助用戶查缺補漏方面起到畫龍點睛的神奇作用。下面通過一些具體的事件來說明這些新增的功能點。

識別遠控客戶端執(zhí)行

此處展示的是攻擊者通過SQL弱口令入侵當(dāng)前系統(tǒng)，成功后再提權(quán)并最終向受攻擊設(shè)備中植入并運行AnyDesk遠控客戶端的案例。

可以看到，掃描系統(tǒng)準(zhǔn)確識別了AnyDesk客戶端的運行事件，同時也明確指出了其“遠程桌面工具”的屬性。最終，對于此類程序在滲透攻擊中扮演的角色以及起到的作用給出了簡明扼要的說明。

圖1. 識別AnyDesk遠程桌面工具執(zhí)行事件?

識別利用域控批量下發(fā)指令

在具有一定規(guī)模的企/事業(yè)單位內(nèi)部，網(wǎng)絡(luò)管理人員常會通過域控制器來批量管理整個網(wǎng)絡(luò)。由于該功能為Windows系統(tǒng)自帶，所以使用起來也有著其特有的統(tǒng)一性和便捷性。不可否認(rèn)這個相對獨立的內(nèi)部環(huán)境，在某種程度上提升了網(wǎng)絡(luò)安全性。但與此同時，這種相對的隔離狀態(tài)一旦被打破，那么該功能的便利性也勢必會成為攻擊者快速部署惡意軟件的“幫兇”。

也正因如此，我們會看到大量入侵者在成功拿到企/事業(yè)單位內(nèi)部網(wǎng)絡(luò)的域控權(quán)限后，便如魚得水一般，輕松通過域控制器的批量管理能力對域內(nèi)所有設(shè)備快速下發(fā)各類惡意指令。

我們在此處展示了360通過掃描分析系統(tǒng)日志發(fā)現(xiàn)，一名攻擊者通過域控制器對域內(nèi)設(shè)備的組策略批量下發(fā)計劃任務(wù)，最終實現(xiàn)勒索軟件統(tǒng)一部署的事件。

圖2. 識別域控通過組策略下發(fā)計劃任務(wù)事件?

識別利用“灰色”軟件傳播勒索軟件

外掛類軟件也可以算是一個較為典型的“灰色”軟件門類了。這類軟件或許不能直接被定性為作惡，但也難保不成為某些作惡者的幫兇。正因如此，對于此類軟件的判定也常令各大安全廠商頗為頭疼。而360通過長期的行為判斷經(jīng)驗及大數(shù)據(jù)分析結(jié)論，在此類軟件的辨別方面則有著較為明顯的優(yōu)勢。

下面的截圖中，展示了360在分析系統(tǒng)日志時準(zhǔn)確識別此類灰色程序的運行，進而將其與勒索攻擊事件進行關(guān)聯(lián)，并給出了其在整個事件中所起到作用的相關(guān)說明。

圖3. 識別FreeFix傳播勒索軟件事件?

識別通過漏洞從驅(qū)動層面關(guān)閉安全軟件

對于企/事業(yè)單位的安全防護，我們總是不斷強調(diào)要開啟安全防護軟件，并確保其核心防護功能正常啟用。

但安全永遠是在一個攻防對抗中的動態(tài)平衡。安全軟件不斷加強防護與偵測，惡意軟件也在不斷提升自身攻擊能力。這其中自然也不乏有惡意軟件能夠?qū)Π踩浖归_攻擊，甚至可能會在某些特定場景中占據(jù)上風(fēng)。

下圖所展示了360識別到了一起安全軟件惡意關(guān)閉的事件。事件中的惡意軟件利用漏洞，在未經(jīng)授權(quán)的情況下從驅(qū)動層直接強行關(guān)閉了安全軟件。在一個本就已被成功入侵的系統(tǒng)中，安全軟件一旦遭到破壞，其所遭受的破壞程度可想而知。同時，這也展示了360攻擊痕跡檢測能力在管理人員策劃系統(tǒng)防護及加固策略時所能提供的支持與助益。

圖4. 識別通過漏洞從驅(qū)動層關(guān)閉安全防護軟件執(zhí)行勒索事件

識別關(guān)閉系統(tǒng)數(shù)據(jù)備份及保護功能

勒索攻擊是當(dāng)前頗受關(guān)注的網(wǎng)絡(luò)安全事件類型。在此類攻擊中，公眾的核心關(guān)注點在于勒索軟件對于系統(tǒng)數(shù)據(jù)保護能力的破壞，以及對重要數(shù)據(jù)與其備份的加密。對此，360自然也是有著針對性的識別能力。

下圖給出了360對于攻擊中被關(guān)閉的數(shù)據(jù)保護功能的精準(zhǔn)識別。此類保護功能本身并不是核心數(shù)據(jù)，但卻與核心數(shù)據(jù)的安全息息相關(guān)。所以對此類事件的精準(zhǔn)識別，也能有效協(xié)助管理人員從更多維度實現(xiàn)對系統(tǒng)內(nèi)數(shù)據(jù)安全防護能力進行更全面的策略指定。

圖5. 識別勒索軟件關(guān)閉系統(tǒng)數(shù)據(jù)備份及保護相關(guān)服務(wù)事件?

更多功能持續(xù)提升

除上述列舉的功能外，本次更新也在更多的攻擊溯源場景中有著更為出色的表現(xiàn)，在此不做過多贅述，相信使用過的用戶都會對此項功能的能力有著很深的體會。同時，我們也會在后續(xù)的產(chǎn)品更新中不斷根據(jù)新的攻防態(tài)勢進一步增加更多檢測項目及能力，與廣大的系統(tǒng)管理人員及安服人員共同打造一個更加安全的系統(tǒng)環(huán)境。

此功能已集成在360安全衛(wèi)士和360企業(yè)安全云的“遠控勒索急救”中的“被攻擊查詢”項目內(nèi)，歡迎有此方面能力需求的用戶移步前往體驗。

圖6. 遠控·勒索急救功能界面?

功能首推，全面護網(wǎng)

作為一家深耕數(shù)字安全領(lǐng)域多年的中國互聯(lián)網(wǎng)安全公司，我們所積累的不僅是安全防護方面的技術(shù)能力，同時深刻的了解用戶在實際使用安全防護類產(chǎn)品及功能時的需求及痛點。而對于即將開啟的護網(wǎng)季，我們更是明白其本身的重要性及相關(guān)用戶的重視程度。

正因如此，我們也就順應(yīng)需求推陳出新，為廣大用戶奉上了前文所述的一系列新功能。而這一系列亮眼功能不僅是360的新功能，同時也是所有安全廠商中的首發(fā)。如果您也恰好發(fā)現(xiàn)這正是您尋之而未果的安全能力，或者有更多的安全防護需求，都不妨嘗試一下360安全產(chǎn)品，相信這會讓您的使用體驗和整個系統(tǒng)的安全防護等級都有一個顯著的提升。

熱點排行

360攻擊痕跡檢測上新

熱點排行

關(guān)注我們