7月,集团子公司值班人员将随身携带的办公笔记本电脑连接到集团总部办公网络,安装在集团总部内联网上的“安恒信息先进威胁检测分析系统”发出警报。安恒的信息专家工程师已经在现场,并开始紧急调查。通过AXDR终端模块伪服务将攻击流量排入迷网蜜罐系统,触发报警,并仔细研究AXDR终端模块伪服务报警列表、迷网蜜罐系统报警细节后,我们的专家工程师确定这是一次外部感染设备接入网横向攻击事件。通过对AXDR平台的搜索,我们发现有两个资产成功破解。工程师立即使用AXDR终端模块隔离中间攻击源和被攻击的扫描探测成功资产,同时根据AXDR终端模块的体检报告对感染系统进行体检分析和调查取证,发现可疑连接,伪装成某安全厂商的任务栏图标程序。利用AXDR终端模块应答中心功能对隔离感染系统进行远程调查,发现进程依然存在,文件存在于D磁盘所在目录中,计算机使用终端杀毒软件对终端进行搜索,未发现任何异常。因此,专家组确定,一个常见的防病毒软件的可疑文件被规避,经过进一步调查和法证,发现主流安全供应商的回收站目录中有可疑文件,收集了大量信息。最后,工程师使用AXDR终端模块来确定此事件的原因。由于附属办公室自动化系统网站原来嵌入了恶意Flash插件,所有进入办公室自动化系统的人员都必须下载并安装Flash插件,总部工作地点工作人员在局域网上下载并安装水坑攻击程序,并在访问总部网络时,攻击程序在群组网络中进行了横向扫描和渗透,AXDR平台和网状蜜罐系统的警报使事件发生、发现和隔离处理只需8分钟。经调查和评估,这次入侵对集团资产没有横向影响。
在这次活动中,Aheng Information AXDR-高级威胁检测和分析系统非常耀眼。
AXDR是一款基于威胁检测和数据分析功能而构建的产品,可跨多个安全层收集和自动关联信息,从而实现快速威胁检测和事件响应。AXDR终端模块是ATT&CK型号的TTPs安恒信息公司根据“战术、技术和程序”概念开发的一个模块,AXDR还具有终端入侵检测、基线收集、日志收集、流量转移、资产指纹跟踪、跟踪跟踪、联系响应和法医处理等功能,包括轻型终端、重新连接、易于存储、自我跟踪和其他功能。它具有完整体积的优势。在最新版本中,AXDR终端模块发布了伪服务动态蜜罐技术,该技术是一种冒充攻击者的技术,通过以实际核心资产或办公主机为诱饵配置几个未使用的端口、网络服务等,攻击者在入侵检测时对这些端口进行攻击,AXDR终端模块将端口流量转发到模因网蜜罐中,使攻击者进行交互操作,从而捕获和分析攻击行为,从而延迟攻击时间。通过减轻对实际端口的定向攻击,并猜测攻击的意图和动机,防御者可以清楚地了解他们的资产面临的安全威胁。AXDR终端模块的伪服务功能与陷阱蜜罐系统相结合,可以有效检测横向入侵攻击,特别是高级持续威胁APT,并对工作站系统进行攻击、入侵和访问其他核心资产,以获取更多关键信息和敏感资源。在日常工作中,在核心资产中放置伪服务功能,可以检测横向入侵攻击,捕获和分析攻击行为,延缓攻击时间,减轻对实际端口的定向攻击,将攻击者引导至Honeynet,推测攻击意图和动机,使防御者清楚地了解和保护资产面临的安全威胁。未来,AXDR将以新一代威胁检测功能与网络端相结合,为更多用户服务,经过更多的真实测试,我们将看到刀片式火力的真正篇章。