[2023]我是如何通过EDR在五分钟内发现完全未标记的威胁 huoji EDR 2023-11-07 159 次浏览 0 次点赞 > 在日常EDR运维中,我们发现了一个异常的情况,但是无法立刻确定,因为所有已知的数据库都无法匹配上这个异常情况..... # 开始 在日常运维中,我们发现了EDR很少会报告可疑的活动,这个行为除了少部分流氓软件以外,一般是不会出现在一个完全未知的程序上: <!--more-->  启用到debug权限,代表程序正在申请debug调试权限,通常来说用于调试程序或者注入行为 立刻进行调查,我们发现,样本来自于桌面,这代表这个样本来源可疑,此外进程安全性为未知,代表不在任何已知数据库内:  文件在我们的心目中的是恶意软件的置信度: 10% # 文件调查 这个样本所触发的行为立刻引起了我们的注意,让我们继续调查他,首先想到的是VT,但是在VT上,这个样本是完全没有任何检出的(部分误报满天飞的安全软件对此进行了报毒,但是不能作为检出依据),因此基于文件的查杀就失效了.  非常高,代表着这个文件是加密文件 再观察区段,发现区段也表现不正常:  可以看出,这文件被加壳了,因此文件基因分析、关联样本(文件模糊hash)或者imphash等基于文件的分析是完全没作用了. 文件在我们的心目中的是恶意软件的置信度: 30% # IOC指标查询 我们立刻对这个程序的全部IOC进行了查询:  对所有连接的网络进行了IOC查询,发现所有的IP地址都被所有国内国外的IOC标记为了未知地址/未知域名. 对于这个情况我们并没有感到有情绪,因为已经见怪不怪了,这个情况我们叫做 IOC的窘境.即IOC对已知威胁检出表现比较好,对全新的威胁,只能标注为未知. **文件在我们的心目中的是恶意软件的置信度: 30%** # EDR日志行为汇总 在IOC和AV引擎 失效的情况下 我们就应该进行下一步,对行为进行分析,首先我们打印出这个样本的全部行为,让我们先看中高风险:   然后通过进程链查看来源:  然后通过进程链查看来源:  可以看到,这个样本是从用户手动执行、进行了恶意软件常见的杀毒软件发现、调试器规避、反射加载、甚至是屏幕截图(热力图是不计算低或者通知的T,因此没有连接和命令等操作) 从图中我们发现完整攻击链较为完整,我们因此基本能判定这是一个恶意程序,为用户在***后手动执行. 文件在我们的心目中的是恶意软件的置信度: 100% # 全行为发现 当确认这是一个新的威胁后,我们对样本立刻进行了行为溯源. 在样本刚开始时候,会通过wmi进行安全软件发现:  之后读取自身资源文件.可能进行加解密操作:  然后连接了HTTP网络,故意伪装成windows更新服务,可以看到,域名在URL里面  payload应该是写到了注册表里面:  对屏幕进行截图上传信息之类的操作后 通过RPC发送计划任务进行持久化:  # 结论 至此,在五分钟内,我们对这个完全未知的威胁在不依赖于任何IOC的情况下,进行了判研、分析与溯源 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
还不快抢沙发