看安恒AXDR从网到端极速处置渗透威胁

7月某日，某集团为准备即将到来的攻防演习，需要⼆级子公司员工轮流到总部来值班，当所有人都以为是正常的工作交接，殊不知威胁正悄然而至。

战事未开，阴云将至

当子公司值班人员将随身携带的办公笔记本电脑接入集团总部办公网络时，已提前在集团总部内网部署完成的安恒信息高级威胁检测与分析系统（简称“AXDR”）随即告警。正在现场值守的我司专家工程师紧急开始排查。客户现场还部署了迷网蜜罐系统，通过AXDR终端模块伪服务将攻击流量引流至迷网蜜罐系统并触发告警，经过对AXDR终端模块伪服务告警列表、迷网蜜罐系统告警明细进行仔细研判，我司专家工程师判定 这是一起外部感染设备接⼊网络横向攻击事件。

AXDR终端模块伪服务告警列表

并且，通过AXDR平台检索发现，已有2台资产被破解成功，情况十万火急，清除威胁刻不容缓！

火眼金睛，无所遁形

工程师立即使用AXDR终端模块⼀键隔离中间攻击源和受攻击(扫描探测)成功资产，同时通过AXDR终端模块体检报告对感染系统进⾏体检分析和调查取证，发现可疑连接，且伪装为某安全厂商任务栏图标程序。到这一步，真相已然逐渐浮出水面。

恶意文件伪装为某安全厂商任务栏图标程序

通过AXDR终端模块响应中⼼功能对隔离感染系统远程调查，发现进程依然存在，⽂件存在D盘某目录下，上机使用终端杀毒软件进行终端查杀，未发现任何异常。因此，工程师判断可疑⽂件针对常见杀毒软件已作免杀，进一步调查取证，终于发现可疑⽂件在某主流安全厂商回收站目录下并已经收集大量信息。最终，工程师通过AXDR终端模块锁定造成本次事件的“元凶”。

最终定位的可疑进程路径⽂件

抽丝剥茧还原事件真相，原来是由于子公司OA系统网站被植⼊恶意Flash插件进行⽔坑攻击，所有访问OA系统的⼈必须下载安装Flash插件才能正常使用，导致来总部值班⼈员在当地网络已被下载植⼊⽔坑攻击程序，当到总部接⼊网络时攻击程序对集团网络进⾏横向扫描渗透，因AXDR平台和迷网蜜罐系统告警使事件从发生、发现、研判到隔离处置仅仅用了8分钟就完成，经过事件调查和评估本次渗透攻击未对集团资产进⾏横向扩散影响，受到了客户的感谢和肯定。

最终还原的本次事件全貌

AXDR ，大显神威

在本次事件中，大放异彩的就是安恒信息超新星AXDR——高级威胁检测与分析系统。

AXDR能力体现

AXDR，是基于安恒信息的威胁检测和数据分析能力，构建的一种跨多个安全层收集并自动关联信息以实现快速威胁检测和事件响应的产品，将是安恒流量、终端威胁检测、分析与响应的一把尖刀。

AXDR终端模块，是安恒以ATT&CK模型中TTPs（Tactics, Techniques and Procedures）的理念进行开发的模块。使得AXDR进一步具备了终端入侵检测、基线采集、日志收集、流量转发、资产指纹、追踪溯源、联动响应、封禁处置等功能，具有轻终端、重联动、易取证、自溯源、全量存的优势能力。

在最新版本中，AXDR终端模块推出伪服务动态蜜罐技术，该技术是⼀种对攻击方进行欺骗的技术，通过将真实的核⼼资产或办公主机布置⼀些作为诱饵的未使用端口、网络服务等，使攻击方在渗透探测时 对这些端口实施攻击，AXDR终端模块将端口流量转发至迷网蜜罐使攻击者进⾏交互式操作，从⽽可以对攻击⾏为进⾏捕获和分析，拖延攻击时间，缓减对真实端口定向攻击，推测攻击意图和动机，能够让防御方清晰地了解所在的资产正在面对的安全威胁。

利用AXDR终端模块伪服务功能+迷网蜜罐系统相结合可以有效检测横向渗透攻击，特别是⾼级持续威胁APT以攻陷某个工作站系统作为跳板，攻击、渗透、访问其它核⼼资产，以获取更多重要信息和敏感资源。在HW期间或日常运营均可在核⼼资产配置伪服务功能以检测类横向渗透攻击事件，对攻击⾏为进⾏捕获和分析，拖延攻击时间，缓减对真实端口定向攻击，引诱攻击者进⼊蜜网，推测攻击意图和动机，能够让防御方清晰地了解和防护所在的资产正在⾯对的安全威胁。

未来，AXDR将会用网端结合的新一代威胁检测能力服务更多用户，历经更多实战检验，在刀锋火线上见真章。