天阗XDR实战案例:破解加密流量的新思路

发布时间 2024-07-04

面对日益严峻的网络安全挑战,加密流量中潜藏的恶意软件威胁变得愈加隐蔽与复杂。本文分享了一个天阗XDR的实战应用案例:通过充分利用XDR的智能检测与智能分析研判等核心能力,用户实现了对潜在安全风险的迅速识别与高效处置,为破解加密流量检测难题提供了新思路和实践范例。


迷 影 重 重 


随着用户安全意识的提高,企业和个人用户更倾向于使用加密技术保护数据,HTTPS/TLS协议逐渐成为互联网通信的标准,全球加密流量总量显著增加。


但这一趋势也为恶意软件提供了一个理想的掩护环境,因为HTTPS/TLS可以帮助恶意软件躲避传统的基于签名或基于内容检查的安全解决方案。大多数网络监控设备在面对加密流量时,很难区分其是合法通信还是恶意活动。


为有效应对加密流量检测难题,一种有效的策略是通过业务流量基线自学习进行预处理过滤,使用流量行为、域名、指纹、证书、包深度检测等多维小模型进行检测,最后对多模型预测结果进行综合决策得出最终检测结果。


然而,即使能够检测到恶意软件加密流量,告警后的研判内容往往难以理解,需要高度的专业性和学习成本,这对用户来说是一个不小的挑战。他们经常需要判断这些检测结果是否真实反映了恶意流量,还是仅仅是一次合法的业务误报。


如何实现恶意软件加密流量的精准快速检测和智能分析研判?下面我们让我们一起通过一个实战案例,看天阗XDR如何迷影寻踪。



XDR 智 能 寻 踪



2024年4月,某政府行业安全运维人员收到天阗XDR的告警通知,发现HTTPS恶意通信流量告警,疑似CobaltStrike木马,随即启动紧急排查流程。


图片1.jpg


在告警详情中可以看到,HTTPS加密隧道检测模型通过多维检测得出该流量的威胁评分高达93。


随即天阗XDR触发自动取证研判任务,从终端侧EDR拉取进程文件信息、文件自动投递沙箱进行动态行为检测、检索域名威胁情报标签、全流下发查询通联访问关系。同时,天阗XDR对取证返回结果进行自动化分析并展示。这一系列操作无需人工干预,全部自动完成。


图片2.jpg


从取证信息中可以看到,HTTPS检测模型分析出与CobaltStrike相似度为91%。此外,文件在沙箱动态检测中被识别为与海莲花APT组织相关联。因此,天阗XDR自动研判分析该告警为疑似海莲花CobaltStrike木马,并同时还原出整个攻击故事线。


图片3.jpg


后续,运维人员在根据故事线进行人工取证溯源排查后发现,用户的确遭受钓鱼攻击,海莲花APT使用伪装成“工资调整”“公积金调整”等诱饵文件来迷惑受害者点击,并利用白加黑技术加载CobaltStrike HTTPS隧道木马进行上线远控。


图片4.jpg


受害主机上线不久后,攻击者立马开始对目标进行远程控制。通过建立的HTTPS隧道下发各类扫描工具,尝试进行网络横向渗透。


图片5.jpg


最后,现场处置人员通过一键处置功能完成木马的取证及清理。从检测、研判到处置,整个过程在短短几分钟内就已全部完成,有效遏制了潜在风险的蔓延。


天阗XDR基于告警降噪、关联分析能力,自动甄别出准确的加密流量告警事件,自动还原出整个事件的来龙去脉,包括完整路径呈现、全攻击阶段覆盖、完整攻击历史复盘、攻击时间线呈现,同时可以网端关联、一键联动端侧进行处置闭环。如同客户身边的安全专家,帮助客户解决恶意软件加密流量难检测、难研判的问题。