威胁情报+DNS解析,12h完美处置驱动人生 – 作者:Threatbook

一次真实的攻击事件:12h 处置“驱动人生”木马

  • 2020年8月2日凌晨 4:46,某黑客团伙攻破了某公司服务器并安装木马。

  • 2020年8月2日凌晨 4:57,该公司监测到攻击行为,发现该服务器正在尝试访问某域名,此域名指向“驱动人生”木马。

  • 2020年8月2日凌晨 5:00 整,攻击行为持续被监测到,并已经发现有10多台服务器被攻破。

  • 2020年8月2日上午 9:00,该公司总部发现攻击事件后,根据网络安全设备的监测和定位功能,迅速对被攻破服务器进行断网、查杀、加固。

  • 2020年8月2日晚 9:00,全部应急响应工作圆满结束,整个处置时间不超过12小时。

检测响应效率如此之高,这家公司的秘诀是……?

该公司当时的网络安全建设情况:

  1. 办公网防护措施只有防火墙和上网行为管理设备,且高度依赖规则,特征库每年更新一次,对 APT、勒索病毒等新型威胁几乎无法防范。

  2. 大量分支机构通过公网连接进总部,且这些分支都没有相应的安全防护设备,总部进行安全防护的部署实施和运维成本很高,终端准入也较难推动。

  3. 企业员工需接入 VPN 访问总部网络。虽已部署流量检测设备,且能够检测出大量终端中招,但由于分支机构终端 IP 为动态分配的,无法定位到具体终端,企业明知道有终端需要处理,也无法采取下一步措施。

综合考量后,该公司认为从 DNS 解析入手、并引入威胁情报进行实时拦截的方案较为高效,最终选定了基于威胁情报的安全 SaaS 产品——OneDNS(企业版)。图片[1]-威胁情报+DNS解析,12h完美处置驱动人生 – 作者:Threatbook-安全小百科

选择 OneDNS 的理由:稳定、精准、简单,威胁不出网

OneDNS 是国内知名公共 DNS 服务,已经高速、稳定运行8年。OneDNS 的企业版提供互联网安全接入服务,依靠威胁情报厂商微步在线的高质量云端威胁情报,通过情报即时碰撞,能够准确识别木马、钓鱼攻击、勒索软件、APT 攻击等新型未知的威胁,只要有访问恶意链接的行为,OneDNS 就可以自动拦截阻断恶意攻击,能够做到攻击不出网,增加攻击者成本,为应急响应争取时间。

OneDNS 的部署运维十分简单,该公司无需部署软硬件,只需修改总部和分支机构的 DNS 递归查询地址指向 OneDNS, VPN 接入终端统一安装轻量 Agent,总耗时仅仅 2 小时,就完成了近 10,000 台终端的部署,且分支机构无需运维。

同时,总部安全运维人员可通过 OneDNS 实时监控各分支安全防护情况,下发统一的安全防护策略,实现分支的统一管控。遇到突发事件时,OneDNS 通过获取终端名、MAC 地址等资产信息,即使中招终端是动态 IP,也能实现精准定位,方便下一步处置。15天,OneDNS都做到了什么?

部署15天,OneDNS 都做到了什么?

根据该公司的使用情况,15天内共进行 DNS 查询2.1亿次,拦截威胁2.3万次。

检测出60余起攻击事件,其中包括一起俄罗斯 APT 组织攻击事件。检出威胁域名如下:

APT 组织攻击 1
勒索软件 2
蠕虫 153
僵尸网络 2
木马 30
钓鱼网站 13
恶意软件 95
矿池 3

来源:freebuf.com 2021-05-26 11:48:29 by: Threatbook

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论