企业动态

    2024上半年，勒索软件肆虐，受害企业竟支付超32亿元赎金！其中包括一笔创纪录的赎金，金额高达5.35亿。

    2024上半年，“银狐”木马继续肆虐，新型黑产团伙层出不穷，同时原始的DDoS攻击方式也在愈演愈烈，甚至大规模攻击了最近爆火的《黑神话：悟空》发行平台。

    ……

    不久前，奇安信威胁情报中心发布《网络安全威胁2024年中报告》（以下简称：报告）。报告列举了2024年网络空间面临的最主要的四大类威胁，分别是高级持续性威胁（APT）、勒索软件、互联网黑产、漏洞利用。

    其中，APT攻击活动依旧猖獗。2024年上半年，APT攻击主要集中在信息技术、政府、科研教育领域，并瞄准了广东省江苏、四川、浙江、上海、北京等经济发达地区。未知威胁组织（UTG）也对新能源、低轨卫星、人工智能等领域构成威胁。同时，勒索软件手段日益专业化。全球勒索软件家族数量众多，新型变种频出，采用“双重勒索”模式，利用漏洞、恶意软件等手段进行攻击。互联网黑色产业链逐步完善，经济利益更加明确。不法分子利用网络技术形成黑色产业链，攻击手法多样，目标包括IT运维人员、线上考试系统等，目的很直接，就是为了获取经济利益。

    奇安信安全专家认为，在数字化转型加速的今天，随着网络技术的快速发展，恶意软件攻击也在不断升级，从简单的病毒木马事件到高级持续性威胁（APT），从黑灰产到勒索软件，这些恶意软件攻击对政企客户的安全构成了极大的威胁。

    从攻击原理来看，这些攻击大部分都会先入侵一台客户侧的内网办公终端作为跳板机，然后执行扫描、横向传播等方式扩大控制范围。因此，想要第一时间感知到恶意软件攻击，部署EDR产品就变得迫在眉睫。

    EDR是传统终端安全产品在高级威胁检测和响应方面的扩展与补充，它通过威胁情报、攻防对抗、机器学习等方式，从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险。EDR系统以行为引擎为核心，利用威胁情报和其他告警引擎缩短威胁从发现到处置的时间，可以有效降低业务损失，增强威胁可见性，提高整体安全能力。

    01    天擎EDR两大核心引擎    锁定高级威胁攻击与勒索攻击

    天擎EDR以冬奥终端安全“零事故”经验总结的“体系化防御，数字化运营”为指导，针对日益增长的高级威胁攻击与勒索攻击，研发了两大引擎——“六合”高级威胁防御引擎与“天锁”防勒索引擎，实现对高级威胁攻击与勒索攻击的体系化防御。

    “六合”高级威胁防御引擎，是面向APT、黑产（网络犯罪）、攻防演练等活动中涉及钓鱼、白利用、远程爆破、横向渗透、持久化、权限提升、凭证窃取、C2与后渗透攻击框架（Cobalt Strike，MSF，Brute Ratel C4，Sliver等等）、内存加载执行等的新型高级攻击技术，以技术攻防对抗、持续运营的思路实现体系化防御的引擎，能有效覆盖高级威胁攻击场景,大幅度提高对高级威胁与未知威胁的发现能力。

    “天锁”防勒索引擎，完美结合了样本检测、行为检测等引擎，实现对已知勒索样本的识别；可精准检测并自动拦截白利用/免杀勒索样本从入侵到执行勒索的系列行为；更有针对勒索攻击的诱捕系统，利用大量的勒索攻击样本遍历文件以及加密文件的顺序的特点,在特定位置投放诱饵文件，辅助行为检测引擎，快速检出和阻断勒索行为；“动态备份恢复”能力可监控进程的文件操作行为，当识别到疑似勒索行为后，文件会被自动备份，确认为勒索行为并处置后，被加密的文件会自动恢复。

    “天锁”防勒索引擎，具有国内首创的“智能密钥恢复”能力，即可事后解密、恢复文件。识别到勒索攻击行为后，系统后台会记录病毒运行时的内存dump、病毒样本、命令行等信息，对加密方式破解运营。

    “天锁”防勒索引擎还具备“灾备恢复”能力，当识别到天擎被勒索攻击干扰时，“动态备份恢复”、“智能密钥恢复”能力依旧可生效。

    持续的安全离不开持续的运营支撑。威胁检测与响应（EDR）运营平台可以在天擎管理中心提供威胁告警/威胁事件的运营能力。通过大数据关联分析技术，提供威胁告警/威胁事件孵化的详细信息，包括告警主体的上下文、告警进程的IP、DNS、文件操作等行为，帮助运营人员对告警进行研判、溯源。EDR高级版中提供了海量终端行为日志，并提供大数据计算能力，运营人员可根据获取的外部威胁情报，在日志中精准运营，定位到企业内是否存在威胁，进行威胁狩猎。

    02    实战见真章    天擎EDR对抗主流威胁效果显著

    场景一：天擎EDR对抗APT攻击

    2023年至今，天擎EDR“六合”高级威胁防御引擎累计发现与拦截20多起APT组织（APT29、海莲花、白象、蔓灵花、UTG-Q-001等）的攻击事件。

    近期，海莲花使用最新的"GrimResources"滥用恶意msc文件以钓鱼手段对某政府单位攻击，“六合”高级威胁防御引擎对该攻击行为实现了精准拦截。

    场景二：天擎EDR对抗主流黑产

    近两年，多个黑产团伙组织使用“银狐”家族木马，以搜索引擎优化、二次打包分发软件、伪造财税类文件等钓鱼手段，对政府、金融、科技等行业客户进行攻击，得手后通过内部IM传播木马文件，对财务人员进行诈骗。日前，天擎EDR对黑产组织伪装相关单位通过钓鱼邮件传播信息窃取工具的行为，进行了精准拦截，并完整记录了整个攻击过程。

    天擎EDR“六合”高级威胁防御引擎对窃取浏览器密码的拦截

    天擎EDR管理中心对样本执行过程中各种危险行为的记录与告警

    天擎EDR高级版将整个攻击链条的各类关键告警以事件形式聚合，还原完整攻击过程，方便运营人员溯源与处置

    场景三：天擎EDR检测与防御高危系统漏洞

    天擎EDR“六合”高级威胁防御引擎，对高危的针对系统组件攻击的远程代码执行（RCE）漏洞和本地提权（LPE）漏洞采用“靶向防御”的方法进行精准的识别与拦截。在实现漏洞攻击防御的技术方案中，综合评估对系统兼容性与稳定性的影响，实现轻量稳定、低误报率的检测与精准拦截技术。

    狂躁许可（CVE-2024-38077）RCE漏洞

    CV2-2024-26229本地提权漏洞

    CVE-2024-30088本地提权漏洞

    场景四：天擎EDR对抗勒索攻击

    对抗勒索方面，天擎EDR“天锁”勒索防护引擎有很好的勒索加密行为识别与“智能密钥恢复”能力。

    “天锁”勒索防护引擎精准识别与拦截Rhysida勒索样本的加密行为

    如果样本执行成功，对加密后的文件，可通过“天锁”勒索防护引擎的“智能密钥恢复”功能，使用“天锁”解密还原工具还原。当前已集成了对Rhysida勒索家族的解密还原。

    总体来看，奇安信天擎EDR是在病毒防护之后，为应对未知且更难防御的高级威胁，诸如APT、黑产、攻防演练、钓鱼、勒索等而打造的产品，它集合了“六合”高级威胁防御引擎、“天锁”防勒索引擎、IoC检测引擎、IoA检测引擎、大数据关联分析技术、大数据计算等奇安信核心技术。

    “攻击者在暗处、防守者在明处”，在普遍攻防并不对等的网络对抗形势中，奇安信天擎EDR让企业在对抗威胁攻击时，不仅拥有高筑的防御工事，更有了主动出击的尖刀，从而让企业安全管理者面对层出不穷的未知高级威胁不再“抓瞎”，能够从容应对各种攻击。