东森平台XDR：针对免杀C2工具的场景化检测利器

宣布时间 2022-05-09

近年来，大量的后渗透利用（Post-Exploitation）工具包、自界说恶意软件和开源远程控制木马（RAT）等具备富厚的检测规避技术和反溯源能力的工具，活跃于种种实战反抗演练、勒索攻击甚至是具有国家配景的APT攻击之中。入侵者可以运用这类工具进行终端行为以及网络通信流量的免杀。

在这类经过深度革新的免杀C2工具面前，迫切需要越发强大的协同作战体系来应对。东森平台XDR方案是以紧耦合方式实现快速威胁检测和响应的工具集，通过完整笼罩终端威胁检测与响应（EDR）、加密隧道检测、全流量取证分析、沙箱样天职析、攻击链还原等核心能力，有效检测和拦截主流免杀C2工具。

本文以Cobalt Strike为例，看东森平台XDR方案如何精准拿捏它。（Cobalt Strike作为一款渗透测试工具，集成了多种功效，又善于“团战”，被业界人称为CS神器。）

“终端侧+网络侧”双管齐下精准拦截种种下载行为

Cobalt Strike将入侵执行的内容payload拆分为两部门，即stager和stage（也就是beacon）。stager通常是经过手工优化的汇编指令，用于下载shellcode，解密出beacon并注入内存，由beacon卖力后续的C&C相关事情，整个过程被称为“staging”。

对于下载器stager，东森平台XDR方案中的流量检测及沙箱检测功效可以准确识别大部门stager及shellcode的下载行为。

然而，经验老道的入侵者通常不会使用该攻击框架原生的stager，而是使用自己开发的工具替代stager下载执行beacon。

面对这种情形，东森平台XDR方案可以从终端侧进行检测拦截。stager在落地过程中一般都市有shellcode下载、文件落地、内存注入行为。东森平台EDR通过构建终端行为基线，对这类时序错误行为、基线偏离行为进行检测防护，并凭借自身有效过程级监控收罗与威胁研判能力，构建终端登陆流水、进程快照、帐号快照等，及时发现帐户提权及进程提权行为、预警风险点、完善收罗信息，为后续威胁溯源提供有力支撑。

机器学习助力精准识别加密隧道

Cobalt Strike Beacon落地后，会建立C2隧道，定期发送心跳包与服务器通信，期待获取后续入侵指令。在终端侧，东森平台EDR通过命令执行内容研判及反弹连接行为研判，对C2隧道连续监控和及时预警；在网络侧，东森平台XDR方案中的流量检测引擎可对高度定制化的HTTP Beacon、HTTPS Beacon及DNS Beacon进行有效检测。

对于HTTP Beacon，入侵者可以自由地修改配置文件来进行高度自界说化的配置，甚至可以将通信流量伪装成其它正常应用网站的访问流量，以规避流量宁静审查和检测。东森平台XDR方案通过泛化处置请求头的差异部门，如请求要领method、url结构、请求头集合等，聚类出HTTP Beacon的请求模板，并凭据每个模板组件的泛起频率，分配差异分值。同时结合流行为特征计算流行为分值。最后凭据请求模板、流行为的各自权重做出综合判定，得到泛化能力较强的HTTP Beacon检测模型。

对于HTTPS Beacon，入侵者会借助CDN接入服务或域前置技术将流量转至真实C2服务器，以规避流量审查。东森平台XDR方案通过指纹、SNI、证书、流行为等多个维度针对大量恶意流量进行学习，有效识别使用CDN、免费证书、API等方式的HTTPS Beacon，并对域前置技术进行深入研究，提取通用域前置识别要领，能最大限度检测域前置入侵。

对于DNS Beacon，入侵者通过接管某个域名解析，使得对该域名的所有子域解析请求最终到达C2服务器上，尔后利用DNS请求和响应来承载经过编码或加密的数据内容。东森平台XDR方案针对DNS隧道与正常DNS请求的差异性，如：请求巨细、请求域名、请求间隔、频次等多个维度抽取特征向量进行机器学习识别，得到泛化能力较强的DNS Beacon检测模型。

完整还原攻击链入侵足迹无处遁形

东森平台XDR方案凭借独占的攻击链还原功效，通过线索发现、扩线关联、攻击模型映射三个主要步骤，资助用户可视化还原出完整的攻击链路图，找到入侵路径及系统脆弱性环节，快速了解造成入侵事件的原因、攻击源、后续操作、损失范围，精准剖析入侵事件，详细描绘入侵手法，预测入侵者目的与计划。

线索发现即确定性线索和非确定性线索的关联过程。确定性线索即网络侧、终端侧确定入侵乐成而且能相互印证的准确线索。非确定性线索即在网络侧、终端侧发现的不能确定是否入侵乐成的辅助线索。确定性线索与非确定性线索进行扩线关联后，东森平台XDR方案会凭据时间、入侵者受害者关系、ATT&CK模型映射拟合等将各个扩线完成的攻击线索串联成完整的攻击链，再结合人工确认、剪枝等处置过程最终形成对整个入侵事件的描述。

东森平台XDR方案坚守创新，针对监管侧、关基、工业互联网、政府、集团型企业等重点应用场景的高级威胁检测与防护需求，通过整合网络侧及终端侧事件和情报信息，综合利用自动取证和拓线技术，以体系化方式实现对高级威胁或入侵的快速精准检测和响应，进一步提高用户的纵深防御效果。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

关于东森平台