看安恒AXDR從網到端極速處置滲透威脅

7月某日，某集團為準備即將到來的攻防演習，需要?級子公司員工輪流到總部來值班，當所有人都以為是正常的工作交接，殊不知威脅正悄然而至。

戰事未開，陰云將至

當子公司值班人員將隨身攜帶的辦公筆記本電腦接入集團總部辦公網絡時，已提前在集團總部內網部署完成的安恒信息高級威脅檢測與分析系統（簡稱“AXDR”）隨即告警。正在現場值守的我司專家工程師緊急開始排查。客戶現場還部署了迷網蜜罐系統，通過AXDR終端模塊偽服務將攻擊流量引流至迷網蜜罐系統并觸發告警，經過對AXDR終端模塊偽服務告警列表、迷網蜜罐系統告警明細進行仔細研判，我司專家工程師判定 這是一起外部感染設備接?網絡橫向攻擊事件。

AXDR終端模塊偽服務告警列表

并且，通過AXDR平臺檢索發現，已有2臺資產被破解成功，情況十萬火急，清除威脅刻不容緩！

火眼金睛，無所遁形

工程師立即使用AXDR終端模塊?鍵隔離中間攻擊源和受攻擊(掃描探測)成功資產，同時通過AXDR終端模塊體檢報告對感染系統進?體檢分析和調查取證，發現可疑連接，且偽裝為某安全廠商任務欄圖標程序。到這一步，真相已然逐漸浮出水面。

惡意文件偽裝為某安全廠商任務欄圖標程序

通過AXDR終端模塊響應中?功能對隔離感染系統遠程調查，發現進程依然存在，?件存在D盤某目錄下，上機使用終端殺毒軟件進行終端查殺，未發現任何異常。因此，工程師判斷可疑?件針對常見殺毒軟件已作免殺，進一步調查取證，終于發現可疑?件在某主流安全廠商回收站目錄下并已經收集大量信息。最終，工程師通過AXDR終端模塊鎖定造成本次事件的“元兇”。

最終定位的可疑進程路徑?件

抽絲剝繭還原事件真相，原來是由于子公司OA系統網站被植?惡意Flash插件進行?坑攻擊，所有訪問OA系統的?必須下載安裝Flash插件才能正常使用，導致來總部值班?員在當地網絡已被下載植??坑攻擊程序，當到總部接?網絡時攻擊程序對集團網絡進?橫向掃描滲透，因AXDR平臺和迷網蜜罐系統告警使事件從發生、發現、研判到隔離處置僅僅用了8分鐘就完成，經過事件調查和評估本次滲透攻擊未對集團資產進?橫向擴散影響，受到了客戶的感謝和肯定。

最終還原的本次事件全貌

AXDR ，大顯神威

在本次事件中，大放異彩的就是安恒信息超新星AXDR——高級威脅檢測與分析系統。

AXDR能力體現

AXDR，是基于安恒信息的威脅檢測和數據分析能力，構建的一種跨多個安全層收集并自動關聯信息以實現快速威脅檢測和事件響應的產品，將是安恒流量、終端威脅檢測、分析與響應的一把尖刀。

AXDR終端模塊，是安恒以ATT&CK模型中TTPs（Tactics, Techniques and Procedures）的理念進行開發的模塊。使得AXDR進一步具備了終端入侵檢測、基線采集、日志收集、流量轉發、資產指紋、追蹤溯源、聯動響應、封禁處置等功能，具有輕終端、重聯動、易取證、自溯源、全量存的優勢能力。

在最新版本中，AXDR終端模塊推出偽服務動態蜜罐技術，該技術是?種對攻擊方進行欺騙的技術，通過將真實的核?資產或辦公主機布置?些作為誘餌的未使用端口、網絡服務等，使攻擊方在滲透探測時 對這些端口實施攻擊，AXDR終端模塊將端口流量轉發至迷網蜜罐使攻擊者進?交互式操作，從?可以對攻擊?為進?捕獲和分析，拖延攻擊時間，緩減對真實端口定向攻擊，推測攻擊意圖和動機，能夠讓防御方清晰地了解所在的資產正在面對的安全威脅。

利用AXDR終端模塊偽服務功能+迷網蜜罐系統相結合可以有效檢測橫向滲透攻擊，特別是?級持續威脅APT以攻陷某個工作站系統作為跳板，攻擊、滲透、訪問其它核?資產，以獲取更多重要信息和敏感資源。在HW期間或日常運營均可在核?資產配置偽服務功能以檢測類橫向滲透攻擊事件，對攻擊?為進?捕獲和分析，拖延攻擊時間，緩減對真實端口定向攻擊，引誘攻擊者進?蜜網，推測攻擊意圖和動機，能夠讓防御方清晰地了解和防護所在的資產正在?對的安全威脅。

未來，AXDR將會用網端結合的新一代威脅檢測能力服務更多用戶，歷經更多實戰檢驗，在刀鋒火線上見真章。