一次真实的攻击事件:12h 处置“驱动人生”木马
-
2020年8月2日凌晨 4:46,某黑客团伙攻破了某公司服务器并安装木马。
-
2020年8月2日凌晨 4:57,该公司监测到攻击行为,发现该服务器正在尝试访问某域名,此域名指向“驱动人生”木马。
-
2020年8月2日凌晨 5:00 整,攻击行为持续被监测到,并已经发现有10多台服务器被攻破。
-
2020年8月2日上午 9:00,该公司总部发现攻击事件后,根据网络安全设备的监测和定位功能,迅速对被攻破服务器进行断网、查杀、加固。
-
2020年8月2日晚 9:00,全部应急响应工作圆满结束,整个处置时间不超过12小时。
检测响应效率如此之高,这家公司的秘诀是……?
该公司当时的网络安全建设情况:
-
办公网防护措施只有防火墙和上网行为管理设备,且高度依赖规则,特征库每年更新一次,对 APT、勒索病毒等新型威胁几乎无法防范。
-
大量分支机构通过公网连接进总部,且这些分支都没有相应的安全防护设备,总部进行安全防护的部署实施和运维成本很高,终端准入也较难推动。
-
企业员工需接入 VPN 访问总部网络。虽已部署流量检测设备,且能够检测出大量终端中招,但由于分支机构终端 IP 为动态分配的,无法定位到具体终端,企业明知道有终端需要处理,也无法采取下一步措施。
综合考量后,该公司认为从 DNS 解析入手、并引入威胁情报进行实时拦截的方案较为高效,最终选定了基于威胁情报的安全 SaaS 产品——OneDNS(企业版)。
选择 OneDNS 的理由:稳定、精准、简单,威胁不出网
OneDNS 是国内知名公共 DNS 服务,已经高速、稳定运行8年。OneDNS 的企业版提供互联网安全接入服务,依靠威胁情报厂商微步在线的高质量云端威胁情报,通过情报即时碰撞,能够准确识别木马、钓鱼攻击、勒索软件、APT 攻击等新型未知的威胁,只要有访问恶意链接的行为,OneDNS 就可以自动拦截阻断恶意攻击,能够做到攻击不出网,增加攻击者成本,为应急响应争取时间。
OneDNS 的部署运维十分简单,该公司无需部署软硬件,只需修改总部和分支机构的 DNS 递归查询地址指向 OneDNS, VPN 接入终端统一安装轻量 Agent,总耗时仅仅 2 小时,就完成了近 10,000 台终端的部署,且分支机构无需运维。
同时,总部安全运维人员可通过 OneDNS 实时监控各分支安全防护情况,下发统一的安全防护策略,实现分支的统一管控。遇到突发事件时,OneDNS 通过获取终端名、MAC 地址等资产信息,即使中招终端是动态 IP,也能实现精准定位,方便下一步处置。15天,OneDNS都做到了什么?
部署15天,OneDNS 都做到了什么?
根据该公司的使用情况,15天内共进行 DNS 查询2.1亿次,拦截威胁2.3万次。
检测出60余起攻击事件,其中包括一起俄罗斯 APT 组织攻击事件。检出威胁域名如下:
APT 组织攻击 | 1 |
勒索软件 | 2 |
蠕虫 | 153 |
僵尸网络 | 2 |
木马 | 30 |
钓鱼网站 | 13 |
恶意软件 | 95 |
矿池 | 3 |
来源:freebuf.com 2021-05-26 11:48:29 by: Threatbook
请登录后发表评论
注册