Z6尊龙凯时

首页 > 关于Z6尊龙凯时 > 新闻动态 > 产品动态

一键还原攻击现场，，，，，，看XDR怎样智斗勒索

宣布时间 2024-07-26

前言：

勒索软件攻击已成为企业面临的主要网络清静威胁之一，，，，，，其高隐藏性、高破损性和勒索性，，，，，，给受害者带来了重大损失。。。然而，，，，，，随着手艺的一直前进，，，，，，扩展检测与响应（XDR）系统正成为抵御此类攻击的强盛武器。。。本文将通过现实案例，，，，，，展示XDR怎样精准还原勒索攻击现场，，，，，，为清静运营职员提供有力支持。。。

2024年5月，，，，，，某客户现场装置的EDR突然发出文件被异常改动的勒索行为告警，，，，，，同时NDR和沙箱也爆发了多次恶意行为告警，，，，，，这引起了清静运营职员的亲近注重。。。

攻击者是怎样进入内网的？？？？？？都有哪些资产受到影响？？？？？？该怎样整理被攻击者熏染过的主机？？？？？？面临这一紧迫情形，，，，，，这三大问题成为了客户亟待相识的焦点。。。

以往解决这些问题，，，，，，需要专业的研究职员举行剖析溯源，，，，，，可是本次攻击涉及到的主机众多，，，，，，攻击者又使用了多种攻击手法。。。�？？？？？吹秸饷苊苈槁榈母婢挛窈凸亓狪P，，，，，，纵使身经百战的研判职员也不禁叹气。。。

但幸运的是，，，，，，由于客户现场安排了天阗XDR系统，，，，，，清静运营职员可以使用天阗XDR强盛的故事线还原功效，，，，，，通过其聚合并降噪来自差别清静工具的告警信息，，，，，，同时使用其自动化取证手艺，，，，，，还原出攻击的时间线和故事线。。。

图片1.jpg

如上图所展示，，，，，，天阗XDR的智能聚合能力，，，，，，可将众多事务聚合成为要害攻击节点，，，，，，并凭证故事线举行排列，，，，，，使故事线一目了然。。。

此前在《看天阗AI智能体怎样赋能XDR实现高阶智能驾驶》一文中，，，，，，我们已先容，，，，，，Z6尊龙凯时XDR实现了天阗AI智能体的赋能，，，，，，可以对种种检测单位举行智能调理，，，，，，实现智能告警剖析、自动生身剖析报告。。。在本次攻击事务回首中，，，，，，我们也接纳了天阗AI智能体举行简朴总结，，，，，，内容包括受影响的主机和用户、恶意文件以及外联C2地点等要害信息。。。

从故事线中可以看到，，，，，，攻击者在5月23日14:21分通过暴力破解使用sa用户登录MSSQL效劳器。。。随后通过MSSQL中的xp_cmdshell来执行Powershell下载下令，，，，，，实验将恶意文件落地并执行。。。紧接着，，，，，，攻击者最先实验举行横向移动，，，，，，并使用了差别的手法举行撒播。。。详细如下：

1、15:07，，，，，，攻击者实验使用SMB协议将恶意文件投递到其他主机上，，，，，，可以通过点击“SMB操作-文件复制”节点来审查SMB传输的详细信息，，，，，，同时XDR的沙箱联动功效也会将对应样本的运行效果展示在下方。。。

图片2.jpg

2、15:11，，，，，，攻击者实验通过impacket工具中的smbexec剧本在受害者主机上执行下令，，，，，，点击对应的“下令执行”节点，，，，，，可审查到攻击者执行的每条指令。。。

图片3.jpg

通过执行详情和历程树，，，，，，可以判断攻击者实验使用DESKTOP-EVWZQ36/admin的用户凭证，，，，，，通过远程效劳来执行下令。。。原理为使用echo将下令写入%SYSTEMROOT%文件夹下随机名称的bat中，，，，，，随后执行并删除。。。

3、17:52，，，，，，攻击者在内网使用永恒系列误差熏染更多的主机，，，，，，并实验植入后门。。。XDR的自动化取证功效通过将永恒之蓝的shellcode上传到沙箱中，，，，，，最终识别到攻击者实验植入CobaltStrike。。。

图片4.jpg

最后，，，，，，使用天阗XDR的联动响应功效，，，，，，研究职员迅速处置惩罚了所有主机相关危害项并将C2加入了防火墙黑名单，，，，，，客户最体贴的三个问题也都迎刃而解。。。

本案例充分展示了天阗XDR在应对勒索软件攻击中的主要作用。。。通过攻击行为自动化取证、沙箱联动以及故事线还原、时间线还原等功效，，，，，，天阗XDR不但简化了清静剖析职员的事情流程，，，，，，还提高了应对网络威胁的效率和准确性，，，，，，让攻击行为无所遁形。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? Z6尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】