OneEDR检测能力再升级:这种高隐藏型木马,可检出!

admin 2022年4月15日00:28:53安全新闻评论16 views1775字阅读5分55秒阅读模式
| 本文共 1310 字,阅读预计 3 分钟 |

OneEDR检测能力再升级:这种高隐藏型木马,可检出!


作为一种高隐藏型木马,Rootkit在所有攻击者工具中被检测到的比例不到1%,但破坏力却超过90%的恶意软件:2010年震惊世界的震网计算机病毒(Stuxnet)就是利用Rootkit秘密收集数据及投递可执行文件,隐藏所有恶意文件与进程逃避恶意检测,导致伊朗上千台铀浓缩设施离心机损毁。非常重要的是,由于Rootkit存在较大的开发难度与复杂性,一旦发现Rootkit就意味着企业很可能遭遇到高级持续攻击(APT)。根据报告指出,超过一半(56%)的Rootkit被用于APT攻击,且随着该恶意软件在网络上开发与销售体系逐渐成熟,Rootkit将成为企业当前面临的重要威胁之一。



OneEDR精准检测高隐藏型攻击


常而言,Rootkit主要安装方法是通过运行在用户态(user mode)的应用程序或是运行在内核态(kernel mode)操作系统的漏洞进行安装。其中,用户态Rootkit编写相对简单,涉及精度与知识较少,检测因此更简单,而内核态的Rootkit则因为处于系统底层,隐藏攻击痕迹技巧更为复杂,很难被安全设备检测到。


OneEDR检测能力再升级:这种高隐藏型木马,可检出!

图:OneEDR检测到内核态Rootkit


微步在线旗下主机威胁检测与响应平台OneEDR在轻量级Agent与服务器平台均内置多款文件检测引擎,且服务端资源充足,检测能力强,成为文件检测核心力量,其拥有自研文件引擎、BitDefender、ClamAV等多款文件检测引擎,可对Rootkit、病毒、木马、黑客工具、挖矿、勒索等多种威胁进行检测。针对Rootkit,OneEDR可有效识别内核模块加载行为,检测对应内核模块文件,并对加载完成内核模块进行异常识别,且会由服务端杀毒引擎再次检查。


OneEDR全面检测:单点检测+事件聚合+内置多种检测引擎


OneEDR不仅能纵深对各种高隐藏型恶意软件进行检测,同时还能通过单点检测+事件聚合+多种引擎的检测架构,实现对主机威胁的全面检测。


单点检测

OneEDR采用的轻量级主机Agent可采集主机日志与文件信息,可为威胁检测提供丰富的数据基础。同时,OneEDR采用“终端+服务端+云端”全方位、全场景、多角度覆盖的全面检测架构,每种检测引擎在不同的检测场景与部署位置均能发挥最大价值,将多引擎单点检测的优势发挥到最大,并基于文件、网络、进程等信息进行判断,实现全面检测。


事件聚合

针对各类威胁告警,OneEDR采取的是事件聚合与威胁图聚合。即,将关联告警和风险聚合,对关联相关告警上下文进行分析,确定告警在进程树所处位置,并将每一条告警日志根据进程链回溯到初始进程,针对是否存在有效信息与最新告警进行研判,提升检测准确性,事件聚合准确率达99%。同时,主机还会通过威胁图算法进行打分,量化展示事件的严重性,让使用者真正聚焦严重攻击事件,帮助企业安全团队提升安全事件应急响应效率,为安全运营提供科学决策依据。


OneEDR检测能力再升级:这种高隐藏型木马,可检出!

图:OneEDR入侵事件可视化展示


内置多种检测引擎

OneEDR内置包括微步在线威胁情报检测引擎、终端木马检测引擎、WebShell检测引擎、异常行为检测引擎、行为规则检测引擎、自研文件检测引擎等12种引擎,且对MITRE ATT&CK攻击行为知识库与模型覆盖达80%,可覆盖失陷外连、恶意行为、WebShell、病毒检测、挖矿、勒索等流行威胁,同时覆盖内存马、Rootkit、容器安全等多种新型威胁场景,保证威胁检测的全面性。


从合规到实战,从病毒到WebShell到无文件,真实的网络攻击技术在不断升级,企业主机安全问题也越来越严峻。当前的形势下,仅仅依靠防御是不够的,仅仅依靠传统的检测机制也行不通了,企业的主机安全需要更加全面、主动、以新技术驱动的威胁发现与安全防御,这也是OneEDR正在做的事情。





安全传送门

Free Trial


OneEDR一站式主机安全防护系统

兼顾安全防御与威胁发现

可实时全面发现企业主机威胁

有效检测Rootkit、内存马等高隐藏型威胁

扫码免费试用

↓↓

OneEDR检测能力再升级:这种高隐藏型木马,可检出!





OneEDR检测能力再升级:这种高隐藏型木马,可检出!

直播推荐

4月26日19:00

攻防演练专题直播 · 攻略篇

↑ 戳蓝字立即报名 


· END ·

点击下方名片,关注我们
觉得内容不错,就点下在看
如果不想错过新的内容推送,可以设为星标OneEDR检测能力再升级:这种高隐藏型木马,可检出!

原文始发于微信公众号(微步在线):OneEDR检测能力再升级:这种高隐藏型木马,可检出!

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月15日00:28:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OneEDR检测能力再升级:这种高隐藏型木马,可检出! http://cn-sec.com/archives/912094.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: