作为一名网络安全管理员,遭遇黑客攻击并不可怕,可怕的是你没有发现攻击。更可怕的是,你领导的领导告诉你的领导你有主机失陷了(绕口令感受一下)。而最可怕的是,失陷主机找不到,威胁进程定位不到,领导还每天都问进展……这不是耸人听闻,而是许多企业,尤其是中小型企业及大型企业分支机构的现状。尽管可能部署了包括防火墙、HIDS、NDR与杀软等一系列安全产品,但因为攻击技术的快速迭代,恶意软件总能绕过、免杀并与C2通信。以今年“大出风头”的银狐系列工具为例,下图展示了某个银狐变种样本执行后的执行逻辑(部分):
银狐某变种样本被执行后,使用了白利用、创建计划任务、重命名等多种隐藏对抗手段来对抗杀软。事实证明,银狐的这些手段非常有效,对很多杀软都实现了“免杀”。如果杀软连检出都做不到,定位清除自然也就无从谈起。除杀软以外,企业通常也会部署防火墙、HIDS、NDR等安全设备来增强对网络攻击的发现识别能力,但现实总是残酷的,除徒增成本之外,在应对以银狐为代表的新型威胁时,其效果通常也不能达到预期。以流量检测为例,仅加密通信这一点就能难倒一大批“英雄好汉”。同时,对于很多中小企业、大型企业的分公司/分支机构而言,专业安全运营人员不足也是导致其网络安全运营低效的主要因素之一。面对以银狐为代表的新型威胁时,大多数企业的困境并非是找不到解决方案,而是找不到在可接受成本范围内实现有效应对的解决方案。而这正是微步推出OneDNS的初衷:为企业提供最具性价比的办公安全解决方案。上一篇文章介绍了(点击蓝字回看上一篇),本文将介绍OneDNS如何定位失陷主机与威胁进程,从而简化安全管理员的威胁处置与清除工作复杂度,以此实现安全闭环,有效提升企业整体网络安全水平。
定位失陷主机
当部署OneDNS之后,企业内所有的DNS请求均会由OneDNS解析,当OneDNS发现恶意反连之后会自动拦截,以阻断网络攻击;同时用免费为用户提供的虚拟转发器(简称VA)这个轻量级小插件来定位失陷主机或终端。虚拟转发器既可以直接部署在企业的本地DNS服务器上,也可以安装在一台单独的虚机上,通过分析DNS流量或DNS日志,实现对企业内网中失陷主机/终端的定位。上图展示了OneDNS定位失陷终端的过程:终端失陷后,恶意软件发起反连,企图连接C2;但OneDNS在识别到恶意反连后,直接阻断。然后利用本地DNS服务器(或虚机)上的虚拟转发器分析DNS流量或日志,定位到内网中发出恶意反连的失陷终端。在找到失陷主机或终端后,就来到了最关键的环节:
定位失陷主机上的威胁进程
主机/终端的安全问题最终还是要回归到主机/终端上解决。主机/终端上的恶意软件之所以很难彻底清除,原因在于其使用的隐藏对抗技术绕过了杀软,无法定位到恶意软件“真身”。除了上文银狐变种样本中的”白加黑“手法,银狐其他变种工具还有(点此查看详情:),都非常有效地绕过杀软。不管恶意软件如何隐藏,其最终都要反连C2以获取下一步指令,这对OneDNS来说,就相当于露出了“狐狸尾巴”,利用OneDNS提供的Agent取证工具就能顺藤摸瓜,准确找到隐匿的威胁进程与样本。取证Agent是一个超轻量工具,可批量一键部署到主机或终端上,只要开启了Agent的取证功能,Agent会上报终端所有的DNS查询进程,对这些进程信息进行分析,就可以锁定发起恶意反连的进程。然后安全管理员就可选择终止进程、隔离文件等操作来清除威胁样本,实现安全闭环。
上图展示了利用OneDNS实现安全闭环的完整过程:云端OneDNS拦截恶意反连阻断攻击的同时,会通过虚拟转发器定位失陷主机/终端,利用轻量级Agent锁定威胁进程;
- OneDNS会将包括失陷主机/终端IP、威胁进程、文件目录与反连地址等与威胁事件相关的信息在同一页面展示,安全运营人员只需鼠标点击,即可下发中止进程、隔离文件等策略进行处置,秒级生效。
这不仅大幅缩短了企业研判处置流程,还极其有效地实现了安全闭环。在完成威胁事件的闭环处置之后,我们通常还会思考这样一个问题:恶意软件是如何进入主机或终端的?当你想知道这个问题的答案时,只需在OneDNS控制台中,选择升级到OneSEC即可。同样都是云端SaaS服务,只需更新控制台,就能实现从OneDNS到OneSEC无缝升级,而无需更换 Agent与VA。OneSEC拥有更强劲的算力与更丰富的功能,利用IOA行为引擎、图检测引擎、云哈希引擎等,仅需数秒就可完成对安全事件的全链路溯源。
还没有评论,来说两句吧...