功能上新

360的系統(tǒng)日志溯源功能自上線以來(lái)廣受用戶好評(píng)，該功能對(duì)于幫助那些在遭遇攻擊前并未安裝360安全產(chǎn)品的用戶進(jìn)行溯源排查有著顯著的效果。其可通過(guò)對(duì)當(dāng)前系統(tǒng)日志的自動(dòng)掃描及分析快速定位攻擊來(lái)源，理清攻擊思路以便進(jìn)一步做出針對(duì)性的防護(hù)與加固。

在2024護(hù)網(wǎng)季來(lái)臨前，我們對(duì)此項(xiàng)完全基于本地系統(tǒng)日志的基礎(chǔ)溯源功能進(jìn)行了一次全面升級(jí)。新增數(shù)百項(xiàng)滲透痕跡的檢出能力，并對(duì)每項(xiàng)檢出都做了簡(jiǎn)要的描述。在遭受攻擊之前并未安裝360安全產(chǎn)品的環(huán)境中也能通過(guò)讀取有限的系統(tǒng)日志，幫助廣大管理員與安服人員快速定位攻擊的時(shí)段及來(lái)源，同時(shí)針對(duì)某些典型場(chǎng)景下的攻擊思路提出專門的防護(hù)建議。

功能提升點(diǎn)

在此次“上新”的功能中，有一些頗為值得一提的能力提升。而恰恰就是這種在細(xì)節(jié)功能點(diǎn)上的升級(jí)，往往能夠在提高整體溯源能力、協(xié)助用戶查缺補(bǔ)漏方面起到畫龍點(diǎn)睛的神奇作用。下面通過(guò)一些具體的事件來(lái)說(shuō)明這些新增的功能點(diǎn)。

識(shí)別遠(yuǎn)控客戶端執(zhí)行

此處展示的是攻擊者通過(guò)SQL弱口令入侵當(dāng)前系統(tǒng)，成功后再提權(quán)并最終向受攻擊設(shè)備中植入并運(yùn)行AnyDesk遠(yuǎn)控客戶端的案例。

可以看到，掃描系統(tǒng)準(zhǔn)確識(shí)別了AnyDesk客戶端的運(yùn)行事件，同時(shí)也明確指出了其“遠(yuǎn)程桌面工具”的屬性。最終，對(duì)于此類程序在滲透攻擊中扮演的角色以及起到的作用給出了簡(jiǎn)明扼要的說(shuō)明。

圖1. 識(shí)別AnyDesk遠(yuǎn)程桌面工具執(zhí)行事件?

識(shí)別利用域控批量下發(fā)指令

在具有一定規(guī)模的企/事業(yè)單位內(nèi)部，網(wǎng)絡(luò)管理人員常會(huì)通過(guò)域控制器來(lái)批量管理整個(gè)網(wǎng)絡(luò)。由于該功能為Windows系統(tǒng)自帶，所以使用起來(lái)也有著其特有的統(tǒng)一性和便捷性。不可否認(rèn)這個(gè)相對(duì)獨(dú)立的內(nèi)部環(huán)境，在某種程度上提升了網(wǎng)絡(luò)安全性。但與此同時(shí)，這種相對(duì)的隔離狀態(tài)一旦被打破，那么該功能的便利性也勢(shì)必會(huì)成為攻擊者快速部署惡意軟件的“幫兇”。

也正因如此，我們會(huì)看到大量入侵者在成功拿到企/事業(yè)單位內(nèi)部網(wǎng)絡(luò)的域控權(quán)限后，便如魚得水一般，輕松通過(guò)域控制器的批量管理能力對(duì)域內(nèi)所有設(shè)備快速下發(fā)各類惡意指令。

我們?cè)诖颂幷故玖?60通過(guò)掃描分析系統(tǒng)日志發(fā)現(xiàn)，一名攻擊者通過(guò)域控制器對(duì)域內(nèi)設(shè)備的組策略批量下發(fā)計(jì)劃任務(wù)，最終實(shí)現(xiàn)勒索軟件統(tǒng)一部署的事件。

圖2. 識(shí)別域控通過(guò)組策略下發(fā)計(jì)劃任務(wù)事件?

識(shí)別利用“灰色”軟件傳播勒索軟件

外掛類軟件也可以算是一個(gè)較為典型的“灰色”軟件門類了。這類軟件或許不能直接被定性為作惡，但也難保不成為某些作惡者的幫兇。正因如此，對(duì)于此類軟件的判定也常令各大安全廠商頗為頭疼。而360通過(guò)長(zhǎng)期的行為判斷經(jīng)驗(yàn)及大數(shù)據(jù)分析結(jié)論，在此類軟件的辨別方面則有著較為明顯的優(yōu)勢(shì)。

下面的截圖中，展示了360在分析系統(tǒng)日志時(shí)準(zhǔn)確識(shí)別此類灰色程序的運(yùn)行，進(jìn)而將其與勒索攻擊事件進(jìn)行關(guān)聯(lián)，并給出了其在整個(gè)事件中所起到作用的相關(guān)說(shuō)明。

圖3. 識(shí)別FreeFix傳播勒索軟件事件?

識(shí)別通過(guò)漏洞從驅(qū)動(dòng)層面關(guān)閉安全軟件

對(duì)于企/事業(yè)單位的安全防護(hù)，我們總是不斷強(qiáng)調(diào)要開啟安全防護(hù)軟件，并確保其核心防護(hù)功能正常啟用。

但安全永遠(yuǎn)是在一個(gè)攻防對(duì)抗中的動(dòng)態(tài)平衡。安全軟件不斷加強(qiáng)防護(hù)與偵測(cè)，惡意軟件也在不斷提升自身攻擊能力。這其中自然也不乏有惡意軟件能夠?qū)Π踩浖归_攻擊，甚至可能會(huì)在某些特定場(chǎng)景中占據(jù)上風(fēng)。

下圖所展示了360識(shí)別到了一起安全軟件惡意關(guān)閉的事件。事件中的惡意軟件利用漏洞，在未經(jīng)授權(quán)的情況下從驅(qū)動(dòng)層直接強(qiáng)行關(guān)閉了安全軟件。在一個(gè)本就已被成功入侵的系統(tǒng)中，安全軟件一旦遭到破壞，其所遭受的破壞程度可想而知。同時(shí)，這也展示了360攻擊痕跡檢測(cè)能力在管理人員策劃系統(tǒng)防護(hù)及加固策略時(shí)所能提供的支持與助益。

圖4. 識(shí)別通過(guò)漏洞從驅(qū)動(dòng)層關(guān)閉安全防護(hù)軟件執(zhí)行勒索事件

識(shí)別關(guān)閉系統(tǒng)數(shù)據(jù)備份及保護(hù)功能

勒索攻擊是當(dāng)前頗受關(guān)注的網(wǎng)絡(luò)安全事件類型。在此類攻擊中，公眾的核心關(guān)注點(diǎn)在于勒索軟件對(duì)于系統(tǒng)數(shù)據(jù)保護(hù)能力的破壞，以及對(duì)重要數(shù)據(jù)與其備份的加密。對(duì)此，360自然也是有著針對(duì)性的識(shí)別能力。

下圖給出了360對(duì)于攻擊中被關(guān)閉的數(shù)據(jù)保護(hù)功能的精準(zhǔn)識(shí)別。此類保護(hù)功能本身并不是核心數(shù)據(jù)，但卻與核心數(shù)據(jù)的安全息息相關(guān)。所以對(duì)此類事件的精準(zhǔn)識(shí)別，也能有效協(xié)助管理人員從更多維度實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)數(shù)據(jù)安全防護(hù)能力進(jìn)行更全面的策略指定。

圖5. 識(shí)別勒索軟件關(guān)閉系統(tǒng)數(shù)據(jù)備份及保護(hù)相關(guān)服務(wù)事件?

更多功能持續(xù)提升

除上述列舉的功能外，本次更新也在更多的攻擊溯源場(chǎng)景中有著更為出色的表現(xiàn)，在此不做過(guò)多贅述，相信使用過(guò)的用戶都會(huì)對(duì)此項(xiàng)功能的能力有著很深的體會(huì)。同時(shí)，我們也會(huì)在后續(xù)的產(chǎn)品更新中不斷根據(jù)新的攻防態(tài)勢(shì)進(jìn)一步增加更多檢測(cè)項(xiàng)目及能力，與廣大的系統(tǒng)管理人員及安服人員共同打造一個(gè)更加安全的系統(tǒng)環(huán)境。

此功能已集成在360安全衛(wèi)士和360企業(yè)安全云的“遠(yuǎn)控勒索急救”中的“被攻擊查詢”項(xiàng)目?jī)?nèi)，歡迎有此方面能力需求的用戶移步前往體驗(yàn)。

圖6. 遠(yuǎn)控·勒索急救功能界面?

功能首推，全面護(hù)網(wǎng)

作為一家深耕數(shù)字安全領(lǐng)域多年的中國(guó)互聯(lián)網(wǎng)安全公司，我們所積累的不僅是安全防護(hù)方面的技術(shù)能力，同時(shí)深刻的了解用戶在實(shí)際使用安全防護(hù)類產(chǎn)品及功能時(shí)的需求及痛點(diǎn)。而對(duì)于即將開啟的護(hù)網(wǎng)季，我們更是明白其本身的重要性及相關(guān)用戶的重視程度。

正因如此，我們也就順應(yīng)需求推陳出新，為廣大用戶奉上了前文所述的一系列新功能。而這一系列亮眼功能不僅是360的新功能，同時(shí)也是所有安全廠商中的首發(fā)。如果您也恰好發(fā)現(xiàn)這正是您尋之而未果的安全能力，或者有更多的安全防護(hù)需求，都不妨嘗試一下360安全產(chǎn)品，相信這會(huì)讓您的使用體驗(yàn)和整個(gè)系統(tǒng)的安全防護(hù)等級(jí)都有一個(gè)顯著的提升。