大考面前,众生平等。
综合历届攻防演练情况来看,攻防演练实战化趋势越见明显,同时也更强调“克敌制胜”:检测并快速响应红队的入侵只是“及格线”;要获得“好成绩”还必须“克敌”,即要确定红队入侵手法,对攻击过程进行溯源,真实还原红队入侵路线;如果还能对红队进行画像,更进一步锁定入侵红队信息,并确定身份的话,那么“三甲”也就不远了。
相反地,红队要想获得好表现,就要千方百计躲开蓝队的检测/追踪。对于网络安全行业而言,公认难以被蓝队察觉的入侵方式有两种:0day和内存马。
但如果只针对单个事件/行为进行告警,安全人员很容易被大量告警信息淹没。这也是大多数安全从业人员的真实写照,繁多的告警导致真正的威胁告警未能及时发现,从而错过了最佳响应时间。
这时,您需要一个工具——能对告警信息进行分析,筛选出最具威胁告警的工具,从而破除红队伪装,抓住真正的威胁。
OneEDR是如何检测到0day漏洞利用的入侵行为的呢?
首先,OneEDR会监控各种Web远程命令执行操作,全面覆盖0day漏洞利用,并标记为异常行为进行风险打分和告警。其次,OneEDR会对所有异常行为和操作进行聚合分析,利用图算法将红队的整个攻击链条关联起来整体判定打分进行告警,最后以图形的方式呈现。具体效果如下图:
OneEDR通过进程链路图,还原内网攻击路径。如果是Webshell,可通过TDP联动找到源IP;如果是爆破,OneEDR能直接找到源IP
事件聚合是微步在线OneEDR中特有的能力,这个能力是基于微步在线5项专利技术实现的,包括:
-
威胁情报样本数据获取专利(专利号:CN113919514A);
-
针对入侵事件检测专利(专利号:CN114006775A);
-
入侵事件检测模型构建专利(专利号:CN113836527B);
-
告警关联专利(专利号:CN113949621A);
-
聚合信息确定威胁事件专利(专利号:CN112087465B)等。
利用这一系列专利技术,OneEDR不仅能够准确地抓住红队的入侵行为,还能展现红队的整个攻击链条及最新进展。对于蓝队/企业而言,可以说是“攻防战场”单向透明了——原本的“送命题”秒变“送分题”!
然后OneEDR通过利用各种记录信息(比如全量日志),进行溯源分析,以确定红队身份信息。
OneEDR通过记录全量日志,进行溯源分析。还可以通过SQL语句进行自定义
哪怕是谈之色变的0day,只要入侵就会有异常行为,进而被OneEDR检测到,并最终追踪到0day,0day的发布之日就是0day的灭亡之时。这在去年的国家级攻防演练中已经被事实证明:
在去年的国家级攻防演练中,OneEDR通过事件聚合功能,成功抓住红队利用某厂商的VPN-0day漏洞进行的渗透入侵行为
内存Webshell的分类,其中Java类无文件攻击是最主流使用的方式
OneEDR团队针对过去几年中大量的无文件攻击案例进行分析表明,在所有的无文件攻击中,Java web内存马(简称Java内存马)是使用最频繁的,同时,也是利用最成熟的攻击方式。Java内存马通常有servlet、spring/tomcat等框架,以及字节码增强型等三种不同的利用方式,但归根到底,Java内存马要影响的都是加载到jvm中的类。
针对Java内存马这一威胁类型,OneEDR采用具有微步在线自主知识产权的内存马检测专利技术(专利号:CN113946825B),通过利用Java instrumentation将检测逻辑attach到jvm上,只需三步:
-
通过java agent获取jvm中所有加载的类;
-
遍历每个类,把可能被攻击方增加/篡改的类,都标记为风险类;
-
遍历风险类,检查是否为Webshell,关键特征:高风险类的class文件是否存在内存马。
除了Java web内存马的检测之外,OneEDR即将推出针对Windows平台下的内存马检测功能,让内存马无处可藏、无所遁形!
-
OneEDR具备ATT&CK中90%的攻击手段检出能力,覆盖超过300+的常见攻击技术和子技术;
-
内置的12款自研引擎,检出准确率高达99%;
-
通过事件聚合、图算法,还原攻击链路,便于用户处置和溯源;
-
对应ATT&CK黑客攻击行为进行单点检测,再对攻击链路进行检测,以此达到实战化对抗的目的。
OneEDR与TDP组合使用,通过行为+文件+网络全方位检测与响应,让检测能力再上层楼
如果您有防范内存马的需求
或正面临0day的威胁
欢迎联系我们
↓↓↓
哦原文始发于微信公众号(微步在线):攻防演练实战秘诀:让0day内存马从送命题秒变送分题
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论