“银狐”病毒肆虐再登热搜,天擎EDR依托AI实现“落地即杀”

时间:2024-12-04 作者:奇安信集团

分享到:

    近日,公安网安部门发现多起“银狐”木马病毒导致的安全事件,公安部网安局紧急发文提醒:财会人员当心!警惕“银狐”病毒!该话题迅速登上百度、今日头条等平台热搜榜。奇安信终端安全专家表示,目前天擎EDR融合了QAX AI大模型和QAX-GPT安全机器人能力,可为用户提供安全事件智能研判服务,大幅提升查杀效率,对“银狐”病毒研判结论精准度高达98%以上,真正实现“落地即杀”。

“银狐”病毒肆虐再登热搜,天擎EDR依托AI实现“落地即杀”

    公安部网安局指出,“银狐”的攻击目标集中在国内财务和会计领域的专业人员,这种木马病毒常常伪装成“发票”“财税”“人员名单”等文件,利用网络媒介进行传播,不仅隐蔽性强,而且巧妙地规避了常规的安全防护措施。一旦用户点击了相关程序文件,便会激活隐藏恶意代码,对计算机实施远程控制,并将该计算机充当进一步攻击的“跳板”,控制更多的计算机,伺机进行窃密、监视、控制等恶意活动。

    就在不久前,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室也通过监测发现木马病毒最新变种——“银狐”(又名:“游蛇”、“谷堕大盗”)。攻击者虚构财务、税务等主题的钓鱼网页,通过微信群传播病毒下载链接。国家计算机病毒应急处理中心提示广大网络用户,临近年末,务必提高警惕,防范电信网络诈骗活动。建议不要轻信社交媒体软件中传播的所谓政府主管部门或金融机构发布的通知;不要从社交媒体软件的聊天群组中传播的网络链接(或二维码)下载所谓的官方程序。

“银狐”病毒肆虐再登热搜,天擎EDR依托AI实现“落地即杀”

    “请广大用户务必加强安全意识,对来源不明的文件保持高度警惕,切勿轻易点击。”奇安信天擎技术团队表示,从11月到现在,银狐木马持续猖獗,几乎每两周就会出现新变种,不仅将财税人员视为主要攻击目标,还部分转向了IT运营人员,对企业信息安全构成严重威胁。

    01

    QAX-GPT AI助力,天擎EDR“如虎添翼”

    当前,随着AI驱动安全已经成为大势所趋,未来网络攻防,得AI者得天下。针对层出不穷、隐蔽性更强的木马病毒威胁,奇安信天擎EDR融合了QAX AI大模型和QAX-GPT安全机器人能力,可为用户提供安全事件智能研判服务,大幅提升查杀效率。配合强大的EDR技术能力,可对银狐木马实时发现、精准拦截,做到“落地即杀”。

“银狐”病毒肆虐再登热搜,天擎EDR依托AI实现“落地即杀”

“银狐”病毒肆虐再登热搜,天擎EDR依托AI实现“落地即杀”

    QAX-GPT智能研判分析技术尤其擅长对勒索、钓鱼等威胁事件进行研判。传统的人工研判分析,面对常见的勒索钓鱼事件,用户往往需要逐个排查每个进程所涉及到的每个告警,并且对文件信誉在奇安信威胁情报中心、VirusTotal等信誉平台进行查询,才能够确定该文件是否为恶意样本。每条事件研判和处置需要平均10分钟,每天也只能排查数十个事件。

    而通过QAX-GPT智能研判分析技术的赋能,即使是一名安全小白,也能帮助快速解释某事件的来龙去脉,分析事件的各类研判依据,包括威胁行为、威胁情报和病毒文件等,并形成研判结论。此外,QAX-GPT还提供批量研判和自动研判的功能,能够从大量事件中快速筛选出哪些是真实有效的威胁事件,哪些是无效误报的事件。这样用户只需专注于真实有效的威胁事件,即可快速处置网络中存在的真实威胁,从而大幅提高研判的工作效率。

    针对近期愈演愈烈的银狐木马病毒,QAX-GPT智能研判分析系统也进行了针对性的AI模型训练,研判结论精准度高达98%以上。

    02

    魔高一尺道高一丈,

    天擎EDR可对银狐木马实现“落地即杀”

    奇安信天擎技术团队的分析显示,银狐家族样本大量使用了APT攻击中常见的多阶段执行、内存攻击(内存加载执行、白利用、恢复钩子、进程注入)等高级攻击技术,对一般的杀毒或终端安全软件来说,可以轻松免杀和绕过防御,这也是该病毒肆虐猖獗的原因。因此,部署优秀的EDR产品变得尤其必要。

“银狐”病毒肆虐再登热搜,天擎EDR依托AI实现“落地即杀”

“银狐”病毒肆虐再登热搜,天擎EDR依托AI实现“落地即杀”

    以奇安信天擎EDR为例,它集成了天擎自主研发的多引擎查杀能力,能对文件实时监控和扫描。依托于病毒运营专家对银狐病毒样本的迅速响应机制,天擎EDR能够在银狐病毒样本落地终端之时,实现“落地即杀”,用户可高枕无忧,无需执行额外操作。

    奇安信天擎EDR之所以能成为“猎狐”高手,是因为它具备以下优势能力:

    01

    全面的威胁识别与分析

    天擎EDR具备对高级威胁攻击技术的检测与拦截能力,对银狐家族常用的内存加载执行,白利用,持久化与远控执行等攻击手段,通过安全大数据与机器学习分析,结合内存攻击防护等能力,从事件关联的设备、恶意进程到每个进程运行的详细信息进行清晰呈现,还原威胁全貌并评估响应范围,帮助安全分析人员对威胁建立全面、清晰的认识。

    02

    丰富的响应处置手段 根据终端威胁告警的类型及扩散的程度,天擎EDR可提供不同等级的响应手段,如终端隔离、进程隔离、进程删除、样本加黑、网络隔离等,可实现自动化处置,并支持将单次响应固化成全局策略,实现安全基线提高,以持续拦截威胁。

    03

    领先的威胁溯源与狩猎技术 天擎EDR提供大数据运营平台,可采集100+种终端行为日志,通过IoA/IoC检测引擎,可对威胁事件关联分析,精准告警,形成富化的可视化上下文详情,进行关联溯源分析。基于AI行为引擎为核心的高级威胁猎捕技术,可利用行为日志自定义,实现高精度多维度的高级威胁狩猎。

    04

    持续的威胁情报协同运营

    天擎EDR运营平台通过大数据关联分析技术,提供威胁告警/威胁事件孵化的详细信息,帮助运营人员对告警进行研判分析与溯源。同时,天擎EDR通过标准化接口可与奇安信天眼、安全运营中心(NGSOC)等多种安全管理平台进行联动,协同处置已知的流行威胁和未知的高级威胁,构建从网络威胁检测到终端威胁分析、响应、溯源的完整威胁处理流程,形成立体式高级威胁处置闭环。

    总体来看,奇安信天擎EDR弥补了传统终端安全产品防御高级威胁能力的不足,已成为众多政企客户的首选,在政府、运营商、金融等行业超过6000万终端,构建了多种混合场景下,针对终端威胁的检测、响应和鉴定的高级威胁对抗能力。天擎EDR的市场表现强劲,营收连续多年保持高速增长,连续四年在终端安全检测与响应(EDR)市场中稳居第一。

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们