Greekn爱分析第六期(通过IOA主动狩猎0day漏洞思考)
2023-4-18 22:11:8 Author: 我的安全梦(查看原文) 阅读量:6 收藏

漏洞动态是根据复杂的网络空间动态变化的,可以参考CVE数据每个月产生了多少新漏洞,有多少新漏洞是被威胁行为者利用。在面对0day漏洞攻击有没有排查方法是有的,也就是通过IOA功能主动狩猎有没有被0day攻击。带有威胁狩猎的EDR具备IOA(攻击指标)搜索功能。

首先需要了解进行rce远程代码执行漏洞攻击,漏洞利用成功会在受影响的软件产品的主进程下发生异常的行为,如产生新的进程命令行会出现攻击者执行的whoami命令或者其它可疑执行命令。

通过厂商发布已知的漏洞预警,如xxx远程代码执行漏洞,漏洞还没有公布POC的时候,就可以通过主动威胁狩猎方式寻找受影响的终端,漏洞公布之前有没有发生可疑行为或告警,狩猎是否遭到失陷。

还原漏洞细节需要通过ndr流量和人工审计的方式进行溯源,还有APT归因也需要通过人工分析。

猜测之前国外3cx供应链攻击事件,如何被发现的,这么隐蔽的供应链攻击,是某xxx客户上面的edr出现一处告警,通过上报edr厂商,edr厂商对自己的客户进行全网排查,把攻击者揪出来的。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU3NDY1NTYyOQ==&mid=2247485588&idx=1&sn=e88d07f5e68ef0296e829e8189e6edf8&chksm=fd2e5576ca59dc6021f90153206380fcceeb65090731ba459b218612ea731fc8d7c0b8ef3f9c#rd
如有侵权请联系:admin#unsafe.sh