《企業端點完美防禦》29-來自台灣,征服世界:TeamT5 杜浦數位安全

台灣是高科技製造業之島以及地緣政治第一線,面臨的網路攻擊與日俱增。根據杜浦數位2025年報告回顧,中國舉國在培養網路攻擊能力,這樣的環境造就了許多進階持續威脅組織(Advanced Persistent Threat, APT),甚至看上去是正規資安公司,實際上是承包政府網軍的公司。這樣以外包公司形式承接政府案子當打手在共產國家很常見,如俄羅斯的Impulse Group,反觀西方國家級駭客都是政府正規軍當打手,例如美國國家安全局的方程式組織

如果我們想深入研究、抵禦只針對台灣的APT,杜浦數位的ThreatSonar Anti-Ransomware是一個不錯的平台,在今年資安大會被業務拉去留資料後,本次POC由力麗科技負責,力麗科技同時也是Fortinet台灣代理商。

ThreatSonar Anti-Ransomware是純EDR代理程式(Agent, Sensor),不包含防毒軟體功能,如果企業本身有防毒軟體需要將安裝路徑、程式執行檔的SHA256加入白名單。POC則是以離線方式進行,運作原理是執行ThreatSonar,他會收集主機相關LOG檔,並與IoC檔案進行比對,共有6個等級,只有第6等是真正的威脅,雖然POC時第4級以上就會被視為具有潛在風險,但如果是以健檢的角度,所有等級進行分析才能確保環境真正安全。

接下來就是POC時的截圖,逐一說明之。

從POC檔案可以看出,執行ThreatSonar後會用YARA Rule掃描收集到的紀錄檔。YARA Rule檔案經過加密,無法用記事本或VS Code開啟。掃描實戰用的記憶體約120MB,這個數值會變動
卡巴斯基常駐時消耗的記憶體大約在170MB左右,掃描時CPU的運用率才會上升
即使將啟發式掃描開到最大,定時掃描也僅需消耗約200MB記憶體,主要還是靠CPU執行
掃描期間不會有任何彈窗,掃描完成後自動產生在同一個資料夾。報告檔需請原廠查看,個人無法查看
既然是資安工具,有些行為在EDR裡被認為有極高風險,例如pendingfilerenameoperations是Windows用來在重新啟動電腦時,檔案重新命名或刪除的暫存機制
對應的Mitre Att&ck矩陣就是T1112 Modify Registry、T1562.001 Disable or Modify Tools,合法工具也會有這樣的行為
除此之外,可以看看ThreatSonar.exe做過哪些事情
的確只有調用POC資料夾里的資料,沒有多餘動作,因此POC時將整個資料夾加入防毒白名單即可
這是另一個可疑行為叫user_execution,駭客在釣魚郵件或電話會要求使用者執行特定工具,這些工具帶有非正常行為,如這張圖,ThreatSonar.exe有debug行為
對應的Mitre Att&ck矩陣就是T1204 User Execution
端點防護的行為分析抓到ThreatSonar.exe有program_requested_an_lsa_process_handle可疑行為
對應的Mitre Att&ck矩陣就是T1003.001 LSASS Memory,因為收集的記錄檔包含主機當下記憶體傾印檔,這個行為算是合法的
POC主機有一台裝了鼎新電腦的主機監控軟體,這個軟體會定時執行命令提示字元。因為誤報非常高,後來我就移除了,剛好遺漏了一台,在有這個軟體的情況下收集看看
windows_command_shell_usage對應的Mitre Att&ck矩陣就是T1059.003 Windows Command Shell,雖然屬於中度警戒,但並沒有可疑威脅,收集完畢後我也移除了監控軟體
如果平常環境算乾淨,單純掃描沒啥意思,就可以進行駭客模擬實驗。因為還有POC名額,架了一台虛擬機,從暗網撈了個勒索病毒編輯器魔改,斷網情況執行勒索病毒,再執行ThreatSonar.exe,並上傳報告。收集完報告後主機就還原了,勒索病毒樣本、解密工具、以及建立工具沒有外流

結果:

如果掃描後發現第6等級的威脅不用驚慌,可以將結果寄給現有廠商進行事件調查,沒有任何一個方案可以防禦全世界的威脅,往好處想,藉由POC在真正損害還沒發生前就發現隱藏威脅,也是一個巨大的好處。

對於此類純EDR + MDR的廠商我沒有琢磨太多,這類廠商缺乏一條龍服務,不像一線廠商擁有防毒軟體、EDR、MDR、惡意程式逆向拆解完整部門(以代理商的說法是看企業想要防禦的角度,推薦對應的產品,但如果公司客戶遍布全球,就應該購買頂尖情資方案,盡量抵禦全世界的威脅,而非針對亞太地區),且安裝時需要留意是否與原本方案衝突,也是這類廠商的劣勢。或許未來以情資的方式匯入防火牆,如Kaspersky Network Security Threat Data Feeds對已經購買他牌資安方案的客戶較為友善。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料