OneEDR检测能力再升级：这种高隐藏型木马，可检出！

| 本文共 1310 字，阅读预计 3 分钟 |

作为一种高隐藏型木马，Rootkit在所有攻击者工具中被检测到的比例不到1%，但破坏力却超过90%的恶意软件：2010年震惊世界的震网计算机病毒（Stuxnet）就是利用Rootkit秘密收集数据及投递可执行文件，隐藏所有恶意文件与进程逃避恶意检测，导致伊朗上千台铀浓缩设施离心机损毁。非常重要的是，由于Rootkit存在较大的开发难度与复杂性，一旦发现Rootkit就意味着企业很可能遭遇到高级持续攻击（APT）。根据报告指出，超过一半（56%）的Rootkit被用于APT攻击，且随着该恶意软件在网络上开发与销售体系逐渐成熟，Rootkit将成为企业当前面临的重要威胁之一。

OneEDR精准检测高隐藏型攻击

通常而言，Rootkit主要安装方法是通过运行在用户态（user mode）的应用程序或是运行在内核态（kernel mode）操作系统的漏洞进行安装。其中，用户态Rootkit编写相对简单，涉及精度与知识较少，检测因此更简单，而内核态的Rootkit则因为处于系统底层，隐藏攻击痕迹技巧更为复杂，很难被安全设备检测到。

图：OneEDR检测到内核态Rootkit

微步在线旗下主机威胁检测与响应平台OneEDR在轻量级Agent与服务器平台均内置多款文件检测引擎，且服务端资源充足，检测能力强，成为文件检测核心力量，其拥有自研文件引擎、BitDefender、ClamAV等多款文件检测引擎，可对Rootkit、病毒、木马、黑客工具、挖矿、勒索等多种威胁进行检测。针对Rootkit，OneEDR可有效识别内核模块加载行为，检测对应内核模块文件，并对加载完成内核模块进行异常识别，且会由服务端杀毒引擎再次检查。

OneEDR全面检测：单点检测+事件聚合+内置多种检测引擎

OneEDR不仅能纵深对各种高隐藏型恶意软件进行检测，同时还能通过单点检测+事件聚合+多种引擎的检测架构，实现对主机威胁的全面检测。

单点检测

OneEDR采用的轻量级主机Agent可采集主机日志与文件信息，可为威胁检测提供丰富的数据基础。同时，OneEDR采用“终端+服务端+云端”全方位、全场景、多角度覆盖的全面检测架构，每种检测引擎在不同的检测场景与部署位置均能发挥最大价值，将多引擎单点检测的优势发挥到最大，并基于文件、网络、进程等信息进行判断，实现全面检测。

事件聚合

针对各类威胁告警，OneEDR采取的是事件聚合与威胁图聚合。即，将关联告警和风险聚合，对关联相关告警上下文进行分析，确定告警在进程树所处位置，并将每一条告警日志根据进程链回溯到初始进程，针对是否存在有效信息与最新告警进行研判，提升检测准确性，事件聚合准确率达99%。同时，主机还会通过威胁图算法进行打分，量化展示事件的严重性，让使用者真正聚焦严重攻击事件，帮助企业安全团队提升安全事件应急响应效率，为安全运营提供科学决策依据。

图：OneEDR入侵事件可视化展示

内置多种检测引擎

OneEDR内置包括微步在线威胁情报检测引擎、终端木马检测引擎、WebShell检测引擎、异常行为检测引擎、行为规则检测引擎、自研文件检测引擎等12种引擎，且对MITRE ATT&CK攻击行为知识库与模型覆盖达80%，可覆盖失陷外连、恶意行为、WebShell、病毒检测、挖矿、勒索等流行威胁，同时覆盖内存马、Rootkit、容器安全等多种新型威胁场景，保证威胁检测的全面性。

从合规到实战，从病毒到WebShell到无文件，真实的网络攻击技术在不断升级，企业主机安全问题也越来越严峻。当前的形势下，仅仅依靠防御是不够的，仅仅依靠传统的检测机制也行不通了，企业的主机安全需要更加全面、主动、以新技术驱动的威胁发现与安全防御，这也是OneEDR正在做的事情。

---

安全传送门

Free Trial

OneEDR一站式主机安全防护系统

兼顾安全防御与威胁发现

可实时全面发现企业主机威胁

有效检测Rootkit、内存马等高隐藏型威胁

扫码免费试用

↓↓↓

---

直播推荐

4月26日19:00

攻防演练专题直播 · 攻略篇

↑ 戳蓝字立即报名 ↑

· END ·

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送，可以设为星标哦

原文始发于微信公众号（微步在线）：OneEDR检测能力再升级：这种高隐藏型木马，可检出！