首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

2023年攻防演習(xí)案例丨發(fā)現(xiàn)0day！安恒實(shí)戰(zhàn)利器AXDR橫刀立馬守護(hù)國(guó)企平安

閱讀量：次 文章來(lái)源：安恒信息

戰(zhàn)局初開(kāi)，疑云密布

2023年8月9日晚，某大型國(guó)企正在進(jìn)行重點(diǎn)安全保障，這是現(xiàn)場(chǎng)值守人員的第一個(gè)夜班，現(xiàn)場(chǎng)已經(jīng)緊鑼密鼓地投入到了保障中。雖然這天已經(jīng)有數(shù)千條告警，其中也不乏高危告警，但大多數(shù)是些掃描爆破類(lèi)的告警，按照之前的預(yù)案進(jìn)行處置，也顯得有條不紊，晚上9:33，值守人員正按現(xiàn)場(chǎng)流程處理著可疑ip，突然，一條有些特別的告警映入他的眼簾：

“-發(fā)現(xiàn)可疑事件：遠(yuǎn)程命令執(zhí)行攻擊

-告警結(jié)果：嘗試”

按照過(guò)往安全分析研判的經(jīng)驗(yàn)，在重點(diǎn)保障期間，掃描和爆破應(yīng)該是出現(xiàn)頻次最高的告警，相對(duì)的，這一類(lèi)型的告警處理起來(lái)也最容易，封禁了對(duì)應(yīng)的可疑ip大概率就萬(wàn)事大吉了。但是，該條名稱(chēng)為“注入攻擊”且結(jié)果為“嘗試”，威脅等級(jí)為“高”的告警，不同于之前的掃描爆破類(lèi)告警，一旦出現(xiàn)，極可能就是真的有安全事件將要發(fā)生了。一股不祥的預(yù)感在值守人員心中升起。

發(fā)現(xiàn)0day告警的原始界面

察敵夜襲，竟是0day

值守人員立刻排查該條告警的詳情，首先在各類(lèi)情報(bào)中心排查該攻擊者ip——是惡意ip！

“難道系統(tǒng)已經(jīng)被攻破了？”值守人員不敢懈怠。立刻研判報(bào)文內(nèi)容，果然，請(qǐng)求里面包有明顯的構(gòu)造的惡意命令——ping dnslog網(wǎng)站。

“好像…有攻擊成功了?！币拱嗟娜吮揪筒欢?，值守人員短短幾個(gè)字，不一會(huì)兒研判組，處置組已經(jīng)全部聚在了一起。至此，戰(zhàn)斗的警鈴已被拉響，現(xiàn)場(chǎng)已進(jìn)入戰(zhàn)斗狀態(tài)。

漏洞細(xì)節(jié)：ping dnslog網(wǎng)站

為了進(jìn)一步確認(rèn)該請(qǐng)求是否可以執(zhí)行，研判組使用Burpsuite回放這個(gè)請(qǐng)求，發(fā)現(xiàn)可以執(zhí)行，并且更嚴(yán)重的是，本身telent命令沒(méi)有回顯，通過(guò)Wireshark抓包發(fā)現(xiàn)收到的回包是200，很大的可能已經(jīng)攻擊成功了！

流量分析：確認(rèn)是真實(shí)攻擊

接下來(lái)，秉持著嚴(yán)謹(jǐn)審慎的態(tài)度，研判組又對(duì)該條告警進(jìn)行進(jìn)一步研判和復(fù)測(cè)。

研判組成員手動(dòng)回放這個(gè)請(qǐng)求，以確認(rèn)是否存在這個(gè)漏洞，經(jīng)研判組緊急進(jìn)行研判，確認(rèn)攻擊事件為成功，復(fù)測(cè)可以執(zhí)行命令，也就是說(shuō)，這是一個(gè)0day漏洞！

第一天就發(fā)現(xiàn)了0day，這問(wèn)題不可謂不嚴(yán)重，現(xiàn)場(chǎng)立刻啟動(dòng)1級(jí)應(yīng)急響應(yīng)，用戶(hù)也立刻趕到現(xiàn)場(chǎng)，緊急聯(lián)系對(duì)應(yīng)0day廠(chǎng)商進(jìn)行修復(fù)。同時(shí)，通過(guò)AXDR聯(lián)動(dòng)用戶(hù)防火墻進(jìn)行快速封禁處置，防止產(chǎn)生更大的危害。

復(fù)測(cè)可以執(zhí)行命令

快速處置，有驚無(wú)險(xiǎn)

晚上21:51，“ip已經(jīng)封禁好了”處置組報(bào)告。

21:52，“告警列表我設(shè)為了30秒刷新一次”安恒值守人員報(bào)告，“如果后續(xù)沒(méi)有告警，那應(yīng)該就沒(méi)有問(wèn)題了?！?

21:56，隨著告警列表的刷新，一次，兩次，三次……終于沒(méi)有出現(xiàn)之前的高危告警，現(xiàn)場(chǎng)所有人懸著的心終于放了下來(lái)，安恒的值守人員也靠在椅子上，有驚無(wú)險(xiǎn)，長(zhǎng)舒一口氣。

21:58，洗把冷水臉，接下來(lái)，就是找線(xiàn)索，找證據(jù)，寫(xiě)報(bào)告，第二天提交報(bào)告，該事件總算是得到了圓滿(mǎn)的處置。

AXDR，實(shí)戰(zhàn)利器

AXDR作為安恒的實(shí)戰(zhàn)攻防利器，在本次事件的監(jiān)測(cè)分析研判中發(fā)揮了舉足輕重的作用，成功針對(duì)0day漏洞進(jìn)行了預(yù)警，成為了攻防現(xiàn)場(chǎng)的“火眼金睛”，與之形成鮮明對(duì)比的是，現(xiàn)場(chǎng)平臺(tái)僅有AXDR產(chǎn)生了相應(yīng)告警，友商平臺(tái)均未產(chǎn)生告警。

AXDR是如何做到這一點(diǎn)的呢？AXDR擁有多年沉淀的威脅檢測(cè)引擎，對(duì)各類(lèi)惡意報(bào)文特征進(jìn)行了細(xì)致研究與分析，結(jié)合AI算法，即使沒(méi)有既有情報(bào)，面對(duì)0day漏洞的報(bào)文特征，依然能夠使其無(wú)所遁形。此外，與終端深度融合，通過(guò)IOA分析引擎以及網(wǎng)端關(guān)聯(lián)能力，可發(fā)現(xiàn)未知威脅。

安恒AXDR高級(jí)威脅檢測(cè)與分析系統(tǒng)立足實(shí)戰(zhàn)，高于實(shí)戰(zhàn)。

在戰(zhàn)前，通過(guò)利用AXDR平臺(tái)的BAS模塊對(duì)現(xiàn)網(wǎng)環(huán)境進(jìn)行自動(dòng)化的模擬攻擊，驗(yàn)證當(dāng)前網(wǎng)絡(luò)的安全防御能力、安全檢測(cè)能力，并提供安全能力的可視化度量。

在戰(zhàn)時(shí)，通過(guò)對(duì)全網(wǎng)流量、終端數(shù)據(jù)、誘捕數(shù)據(jù)等進(jìn)行深度關(guān)聯(lián)分析，實(shí)時(shí)動(dòng)態(tài)的精準(zhǔn)識(shí)別安全告警，并提煉出完整的安全事件。

在戰(zhàn)后，通過(guò)分析平臺(tái)和誘捕技術(shù)，查看攻擊者行為，獲取攻擊者指紋信息，進(jìn)一步對(duì)攻擊者進(jìn)行溯源，識(shí)別攻擊者身份。

未來(lái)，AXDR將會(huì)用網(wǎng)端結(jié)合的新一代威脅檢測(cè)能力服務(wù)更多用戶(hù)，歷經(jīng)更多實(shí)戰(zhàn)檢驗(yàn)，在刀鋒火線(xiàn)上見(jiàn)真章。