启明星辰XDR助力精准“猎狐”：一键处置瞬间破案！

发布时间：2024-12-31 15:41

2024年4月上旬，启明星辰接获企业客户反馈，其XDR管理中心发现内网办公主机感染“银狐”木马，并存在远程控制行为。通过XDR准确勾勒的攻击事件全貌，我们迅速分析出攻击者的一系列复杂操作，并有效阻止了攻击的进一步发展。

何为“银狐”？

银狐系列木马是一类针对企事业单位管理人员、财务人员、销售人员等进行钓鱼攻击的木马。

银狐的传播方式主要分为下载和钓鱼两种：攻击者经常会购买知名搜索引擎的竞价排名，让捆绑了银狐木马的假冒办公软件排名靠前。当受害者下载并执行这些假冒办公软件时即被植入木马后门；

另外，他们还会将木马包装成目标对象关注的文件名，通过即时通讯工具、钓鱼邮件等形式进行传播。

在检测规避上，银狐木马常通过多种手段达到免杀效果：如白加黑、侧加载、安全软件规避、多阶段加载等。

在与C2进行通信时，一般设置有通信密码，采用zlib、XOR、AES、RC4等多种算法混合加密其通信内容，以保证数据不被安全设备检测。

“猎狐”行动始末

2024年4月上旬，启明星辰收到某企业客户反馈其天阗XDR管理中心（以下简称XDR）发现其内网办公主机感染“银狐“木马，并且存在远程控制行为，需要协助研判分析。

在故事线中，本次木马攻击的完整攻击时间线呈现在用户眼前，并且客户已经使用系统的一键处置功能完成了病毒木马清理。

基于XDR对整个攻击事件的描述，我们完整还原了整个攻击过程：

4月11日 14:53

某财务人员在一个微信群中收到名为“小规模纳税人增值税政策第三批规定.zip”的压缩包。

4月11日 14:57

用户解压压缩包并运行了里面的文件。压缩包内文件实际为木马下载器，执行后将从远程服务器8.134.201.170:80下载并执行shellcode。

4月11日 14:58

shellcode下载完毕后，受害主机开始外联C2服务器进行通信。通过XDR的自动研判取证，我们可以看到完整的看到从“银狐”上线数据包中解密出来的上线信息，从而快速定位失陷主机。

4月11日 15:02

在受害主机连接上C2服务器4分钟后，攻击者便开始对受害主机进行远程控制。此时，XDR系统响起了最严重的“远程控制”告警。

经过XDR对攻击事件准确的勾勒，攻击者一连串复杂的操作清晰地展示眼前。安全人员依靠XDR对于攻击事件的详细展示完成了瞬间“破案”，并及时阻止了攻击的进一步发展。

“猎狐”行动总结

从银狐木马事件可以看出，攻击者各种攻击手段不断升级。而当前安全运营的困境，在于网、端告警相互孤立，没有关联分析，形成数据孤岛。

另一方面随着部署的安全设备越来越多，产生海量告警，根本看不完。当安全事件发生，依赖于人员水平进行事件还原，耗时费力且难以完成。以上种种造成告警看不完、告警不会分析、真正的告警被漏掉。

XDR产品如何解决安全运营的困境？

XDR采用自动告警降噪技术，无需人工干预，即可实时对告警降噪，能够做到100000：1的告警降噪，千万级告警降噪到日均百条以下。

同时，不依赖于使用人员经验，基于告警降噪、关联分析之上，实现安全运营高阶智能驾驶，可自动还原攻击故事线，实现完整路径呈现、全攻击阶段覆盖、完整攻击历史复盘、网端关联分析。

XDR让安全运营人员人人皆可“猎狐”。

启明星辰XDR助力精准“猎狐”：一键处置 瞬间破案！