其他
无文件攻击,如何被EDR在1分钟内自动检出?
“
绕过杀软的无文件攻击,EDR如何破?
这类绕过传统终端安全的新攻击手法,如何能快速高效地捕获、处理,并保住蓝队重要的分数呢?下图是EDR在攻击后的1分钟内捕获的详细攻击链图。
无文件攻击的最大特点就是恶意代码直接在内存中运行,有人可能会想:内存扫描是否就可检出恶意代码?
有效检出与性能消耗的博弈
内存扫描会占用较多系统资源:相比文件扫描面对的KB或MB级文件,内存扫描通常面向的是GB级内存数据,需占用较多系统资源,导致终端响应缓慢或卡顿;
很难确定内存扫描时机:终端运行过程中,内存数据是时刻变化的。而内存特征本身可能在特定时机才会稳定出现,太早或太晚扫描都有可能误报;并且,也有恶意程序通过加密内存数据来规避扫描,只在特定时间解密数据以实施攻击;
从大量实践经验来看,利用EDR中的行为检测技术不仅可以有效检测无文件攻击,同时用来触发、配合内存扫描,可对无文件攻击等新型威胁实现“多维度打击”。
EDR行为检测,让无文件攻击无所遁形
EDR可以检测并关联一次点击背后的一连串(风险)行为:
首先,EDR检测到Word简历启动后,Office进程利用宏启动了一个名叫Rundll32的系统可信程序,这是绝好的伪装; 其次,在Rundll32 启动过程中,Office进程对Rundll32进行了远程线程注入,把一段恶意的shellcode代码强行“塞入”了原本无害的进程中,EDR检测到这个异常的注入动作; 此外,Office进程还通过宏写入了一个非常可疑的计划任务,使得CS马保持开机启动,这里调用powershell创建计划任务的行为也会被EDR精准检测。
然而你以为EDR就只是这样吗?高阶的EDR行为检测,并不止步于此。
高阶的EDR不会放弃任何一种技术,其也可以与内存扫描技术组合使用:
通过大量真实案例来看,面对那些将恶意代码注入内存直接运行的攻击方式,EDR行为检测可以对注入后的攻击行为进行捕获并精准检测,也能在检测到风险行为时启动内存扫描,让内存扫描“指哪打哪”。
但对于大多数企业来说,检测并不是最终目的,更重要的是响应和处置。发现威胁后要如何通过EDR进行溯源和快速处置?敬请关注下一篇文章。同时关注微步在线EDR方面的动态,了解更多EDR技术的高级玩法。
直播预告