优发国际网站官网XDR：针对免杀C2工具的场景化检测利器

宣布时间 2022-05-09

近年来，大宗的后渗透使用（Post-Exploitation）工具包、自界说恶意软件和开源远程控制木马（RAT）等具备富厚的检测规避手艺和反溯源能力的工具，活跃于种种实战对抗演练、勒索攻击甚至是具有国家配景的APT攻击之中。入侵者可以运用这类工具举行终端行为以及网络通讯流量的免杀。

在这类经由深度刷新的免杀C2工具眼前，迫切需要越发强盛的协同作战系统来应对。优发国际网站官网XDR计划是以紧耦合方法实现快速威胁检测和响应的工具集，通过完整笼罩终端威胁检测与响应（EDR）、加密隧道检测、全流量取证剖析、沙箱样天职析、攻击链还原等焦点能力，有用检测和阻挡主流免杀C2工具。

本文以Cobalt Strike为例，看优发国际网站官网XDR计划怎样精准拿捏它。（Cobalt Strike作为一款渗透测试工具，集成了多种功效，又善于“团战”，被业界人称为CS神器。）

“终端侧+网络侧”双管齐下精准阻挡种种下载行为

Cobalt Strike将入侵执行的内容payload拆分为两部分，即stager和stage（也就是beacon）。stager通常是经由手工优化的汇编指令，用于下载shellcode，解密出beacon并注入内存，由beacon认真后续的C&C相关事情，整个历程被称为“staging”。

关于下载器stager，优发国际网站官网XDR计划中的流量检测及沙箱检测功效可以准确识别大部分stager及shellcode的下载行为。

然而，履历老道的入侵者通常不会使用该攻击框架原生的stager，而是使用自己开发的工具替换stager下载执行beacon。

面临这种情形，优发国际网站官网XDR计划可以从终端侧举行检测阻挡。stager在落地历程中一样平常都会有shellcode下载、文件落地、内存注入行为。优发国际网站官网EDR通过构建终端行为基线，对这类时序过失行为、基线偏离行为举行检测防护，并依附自身有用历程级监控收罗与威胁研判能力，构建终端上岸流水、历程快照、帐号快照等，实时发明帐户提权及历程提权行为、预警危害点、完善收罗信息，为后续威胁溯源提供有力支持。

机械学习助力精准识别加密隧道

Cobalt Strike Beacon落地后，会建设C2隧道，按期发送心跳包与服务器通讯，期待获取后续入侵指令。在终端侧，优发国际网站官网EDR通过下令执行内容研判及反弹毗连行为研判，对C2隧道一连监控和实时预警；在网络侧，优发国际网站官网XDR计划中的流量检测引擎可对高度定制化的HTTP Beacon、HTTPS Beacon及DNS Beacon举行有用检测。

关于HTTP Beacon，入侵者可以自由地修改设置文件来举行高度自界说化的设置，甚至可以将通讯流量伪装成其它正常应用网站的会见流量，以规避流量清静审查和检测。优发国际网站官网XDR计划通过泛化处置惩罚请求头的差别部分，如请求要领method、url结构、请求头荟萃等，聚类出HTTP Beacon的请求模板，并凭证每个模板组件的泛起频率，分派差别分值。同时团结盛行为特征盘算盛行为分值。最后凭证请求模板、盛行为的各自权重做出综合判断，获得泛化能力较强的HTTP Beacon检测模子。

关于HTTPS Beacon，入侵者会借助CDN接入服务或域前置手艺将流量转至真实C2服务器，以规避流量审查。优发国际网站官网XDR计划通过指纹、SNI、证书、盛行为等多个维度针对大宗恶意流量举行学习，有用识别使用CDN、免费证书、API等方法的HTTPS Beacon，并对域前置手艺举行深入研究，提取通用域前置识别要领，能最大限度检测域前置入侵。

关于DNS Beacon，入侵者通过接受某个域名剖析，使得对该域名的所有子域剖析请求最终抵达C2服务器上，此后使用DNS请求和响应来承载经由编码或加密的数据内容。优发国际网站官网XDR计划针对DNS隧道与正常DNS请求的差别性，如：请求巨细、请求域名、请求距离、频次等多个维度抽取特征向量举行机械学习识别，获得泛化能力较强的DNS Beacon检测模子。

完整还原攻击链入侵足迹无处遁形

优发国际网站官网XDR计划依附独吞的攻击链还原功效，通过线索发明、扩线关联、攻击模子映射三个主要办法，资助用户可视化还原出完整的攻击链路图，找到入侵路径及系统懦弱性环节，快速相识造成入侵事务的缘故原由、攻击源、后续操作、损失规模，精准剖析入侵事务，详细描绘入侵手法，展望入侵者目的与妄想。

线索发明即确定性线索和非确定性线索的关联历程。确定性线索即网络侧、终端侧确定入侵乐成并且能相互印证的准确线索。非确定性线索即在网络侧、终端侧发明的不可确定是否入侵乐成的辅助线索。确定性线索与非确定性线索举行扩线关联后，优发国际网站官网XDR计划会凭证时间、入侵者受害者关系、ATT&CK模子映射拟合等将各个扩线完成的攻击线索串联成完整的攻击链，再团结人工确认、剪枝等处置惩罚历程最终形成对整个入侵事务的形貌。

优发国际网站官网XDR计划坚守立异，针对羁系侧、关基、工业互联网、政府、集团型企业等重点应用场景的高级威胁检测与防护需求，通过整合网络侧及终端侧事务和情报信息，综合使用自动取证和拓线手艺，以系统化方法实现对高级威胁或入侵的快速精准检测和响应，进一步提高用户的纵深防御效果。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

关于优发国际网站官网