从网络安全应急响应看EDR的一些Case

当前 网络 安全 应急 响应 常见 的 七大 处置 场景, 分别 是 勒索 病毒、 挖 矿 木马、 Webshell、 网页 篡改、 DDoS 攻击、 数据 泄露 和 流量 劫持 网络 安全 应急 响应。

 

 

 

 

 

 

EDR case:【持续控制】可疑用户:空口令账户、特权用户、隐藏用户和克隆用户

空口令账户:

 

 可疑的新增用户、隐藏用户和克隆用户:

 

 

 

 

 

 

 

 

 

 特权用户:

 

 上面都是在持续控制的大场景里,属于通过系统账号进行持续控制:

 

 

 

 

EDR case:【持续控制】可疑注册表篡改

 

 利用注册表实现持续控制的手段有【有一些IoC可利用,当然,这些东西仅仅是疑点,无法石锤为真正的攻击!!!还是需要结合上层的关联分析来上报真正的威胁事件】:

 

 

 

 

 

EDR case:【持续控制】可疑的开机启动项

 

 

 

 EDR case:【持续控制】可疑的进程(可疑路径、隐藏进程)

查看 可疑 的 进程 及其 子 进程。 重点 关注 没有 签名 验证 信息 的 进程, 没有 描述 信息信息 的 进程, 进程 的 属 主、 路径 是否 合法, 以及 CPU 或 内存 资源 长期 占用 过高 的 进程。


 

 

 

 

 

 

 

 

从敏感路径来的可疑进程:

 

 

 

 

 

 

隐藏进程:

 

对 进程 进行 排 查, 发现 进程 中 存在 可疑 程序 svchost. exe, 进程 定位 到 文件 落地 目录。 svchost 属性 如图 4. 6. 5 所示。 经 查询, 确定 该 文件 为 勒索 病毒 文件。


 主要是涉及持久化的case:

 

待分析unhide的具体实现。

 

 

EDR case:【持续控制】进程DLL注入

 

 

 

 

 

 

 

 

主要涉及:

 

 

 

 待分析malfind的具体实现。

 

EDR case:【破坏】可疑的文件修改和删除

 

 

 

 主要是涉及痕迹清理:需要检测是否有清理的记录。

 

 

 

 

 

EDR case:可疑新增文件

 

可疑的ssh key:

 

 EDR case:特殊权限文件

 

 777

 

 EDR case:Webshell检测

 

 

 

 

EDR case:网页防篡改

 

 

 

 检测思路:

 

 

 

 

 

 

 

 

 

 

 

 

EDR case:【持续控制】rootkit检测

rootkit只是持续控制的一个子项:

 

 

 

https://jingyan.baidu.com/article/f006222860e9fafbd3f0c8aa.html

 

 

EDR case:内存检测和取证相关

 

EDR case:扫描/爆破/弱密码/漏洞/C2关联

 

 

 

 

 EDR case:高危端口

 

 

EDR case:供应链攻击

 

 

 

 

如何防御供应链攻击
1.建立内部软件源或使用足够安全的软件源

建立自己的软件源,软件源限定官方来源、加密同步协议https,并对其进行定期的维护与测试,及时发现问题。每将一款软件加入到自己的软件源的时候都要进行完善的安全审查才可以。如果没有能力自建软件源,则使用其他厂商自建的软件源即可,这里推荐使用腾讯的软件源https://mirrors.cloud.tencent.com。
2.终端安全检测

在每个终端上都安装安全检测系统来检测程序与文件的行为。这种检测主要可以分静态检测与动态检测。

1.静态检测
主要对文件内容进行扫描,看其是否为木马文件,这种方式一般会用到特征码的对比。或者与正常文件的md5进行对比看是否被修改过。还有一种是利用机器学习模型来帮助进行识别。

2.动态监测
动态监测是对程序或者文件的行为进行检测,比如创建文件的行为或者添加用户的行为。


3.主动扫描
针对于脚本型的供应链攻击比如说恶意的python包,我们采用主动扫描的方式进行自我保护,具体行为如下:

1.下载代码静态扫描,类似主机安全检测的静态扫描,静态扫描的优点是:速度快,但误漏报相对较多。

2.系统沙盒动态检测,通过沙箱进行syscall和流量监控,优点是可以准确捕捉程序行为,不受代码混淆的影响。缺点是建设、运营成本高;对于存在对抗的恶意代码,系统沙箱无法正常触发其恶意代码逻辑,脚本类恶意代码,定位成本相对较高,以npm和pypi软件源检测为例,一个软件包一般由多个脚本组成,当沙箱捕获到一个外连请求,无法确认是哪个脚本发出的。

3.软件包信誉评估,根据各大软件交付平台的软件包基础信息进行信誉评估,包括上架时间,访问次数,代码大小,文件名、fork次数等等,建设信誉评估模型,对低信誉的包进行安全报警,优点是场景通用,速度快。

4.应用层沙盒动态检测,针对解释型语言做应用层沙盒动态检测,应用层沙盒的优点是可以轻松定制触发场景、模拟各种用户调用,触发潜藏的恶意行为,覆盖率高;近期我们上线了Python应用沙盒,以函数劫持方式监控pypi包的网络连接,命令执行和文件读写等行为,建立精确行为链模型,而且通过回溯的方式,可以清晰地知道异常行为产生于哪一个包里哪一个脚本的具体哪一行代码。
总结

应用层沙盒的检测成本较高,在使用docker集群作为隔离环境,应用的过程中,docker容器并不是想象中地那么稳定,做好异常监控,状态保存和重试机制很关键,且应用层沙盒属于动态检测,虽然准确精细,但是需要做多语言适配,还是有一定的工作量。 静态检测虽然成本较低,但对于未知的混淆、绕过手法非常容易出现漏报。

 

EDR case:勒索中的横向移动和域渗透(高阶)

 

 


EDR case:权限提升

 

 

EDR case:浏览器挖矿

 

 

 

 

 

 

杀软可以检测???

 

 

 

EDR case:勒索文件防护

 

 

 

 

 

 EDR case:可疑的计划任务、服务、开机启动项

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

运行来自可疑的下载文件:

 

 

 

 

 

 

EDR case:无数字签名的可疑进程

 

 

EDR 处置:

 

 

 EDR case:数据泄露

 

 

 

 

 

拖库:

 

 EDR case:可疑的进程白名单

 

高阶攻击:tor

 

 

posted @ 2022-02-28 11:41  bonelee  阅读(585)  评论(0编辑  收藏  举报