【安恒EDR功能预告】攻防对抗之单机扩展
随着计算机网络时代的快速发展,基于网络数据开放和开发,极大地激活了创造力和生产力,促进国民经济的发展。但是伴随而来发生的勒索软件(WannaCry)加密、计算机型“新型冠状病毒”、抖音千万级账号撞库攻击等网络安全事件亦是屡见不鲜。
尤其是伴随着5G、人工智能技术和万物互联的临近,网络空间安全时代也将迈向数字安全时代,高级威胁攻击也必将取代传统网络安全攻击,并且攻防对抗会愈演愈烈。
因此,无论是国家还是企业,对于新时代的新攻击,都必须采取新的方式在实战对抗中全面提升威胁防御能力,形成应对高级威胁的检测、防御和运维于一体的安全体系。
攻防对抗
为了全面提高威胁防御功能,攻防对抗演练就变得尤其重要,而在端上攻防对抗大致会分为单机扩展、隧道搭建、内网探测、远控持久、渗透收尾等5个阶段。每个攻击阶段可能存在交叉重叠,而这恰恰和攻防对抗的理念一致:不限制攻击路径,以提权、控制业务、获取数据为最终目的。
篇幅原因,本文重点介绍——单机扩展。
单机扩展
单机扩展顾名思义,也就是在本机进行扩展行为,其中包括本机信息收集、本机提权等行为。
在常见的渗透过程中,信息收集一般是持续在全过程的主要流程,收集的信息包括目标机器上的用户名、计算机名称、IP地址以及明文密码等信息,而收集到的信息越多,攻击的成功率也就越高。且部分信息收集工具可以内存执行,在用户无感知的情况下对非授权的敏感信息进行提取。本机提权可以帮助攻击者从当前的低权限用户提升到至高无上的管理员权限,而权限控制是系统安全的基石,一旦这道门槛被突破,不仅目标机器的所有信息都会被泄露,而且一切防御措施都会显得苍白无力,所以对本机信息尤其是权限的防护和控制就变得尤其重要。
一般处置方式
那么,对于一般的机器遇到渗透攻击情况该如何处理:
1、排查网络内部所有的机器,确定是否存在可疑的单机扩展程序,如果存在则删除该程序;
2、对存在单机扩展恶意程序的服务器进行系统清查并访问限制,即进行相应的网络隔离;
3、检查机器的启动项是否被更改,定时任务是否有异常的启动项;
4、查看可疑的单机扩展程序的上传时间,并查看在这个时间段有哪些服务器对本地服务器进行了访问,这些服务器中可能存在已经被攻击者控制的机器,对可疑的服务器进行访问限制;
5、安装相应的防渗透的安全防护软件。
EDR解决方案
对于单机扩展渗透工具,安恒EDR不仅能够防止产生,而且还能防启动和防扩展。
防生成:开启病毒防护功能中的文件产生时、存储介质连接时扫描,可在恶意渗透工具落地实时发现阻断并告警。
防启动:开启病毒防护功能中文件执行时扫描,可在恶意渗透工具启动时实时发现阻断并告警。
防扩展:开启高级威胁中的单机扩展功能模块,可在渗透工具扩展时实时阻断并告警。
安恒EDR是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景;自主研发的免疫引擎与专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护、流量画像;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、国产操作系统、容器安全等各个场景。
往期精选
围观
央视报道 — 高科技手段护航高新区复工复产
热文
热文
NO.1|安恒堡垒机市场份额排名荣获“亚太区及中国区”双第一