【安天攻防演练专题】快速开展应急处置与分析取证

时间:2022年06月30日    来源:安天

本期为【安天攻防演练专题】系列的第九期(最后一期),将分享在攻防演练中,如何运用应急处置工具箱高效开展应急处置、分析取证工作。

在攻防演练期间,针对突发的恶意威胁攻击事件,需要快速开展应急处置与分析取证工作。此时,具备应急处置、分析取证能力的工具箱将显著提高工作效率,甚至发挥出难以替代的重要作用。

安天拓痕应急处置工具箱(以下简称:拓痕工具箱)正是一款适用于上述场景的便携式工具箱,其核心部件包含:主机深度分析处置工具、应急处置主机等。拓痕工具箱内置国产化自主可控的威胁检测引擎,集成了安天在系统安全监测与处置、流量安全分析、恶意代码行为分析及应急响应等领域的多年技术积淀与实战能力,能够有效支撑攻防演练期间的防守保障。

1.攻防演练价值

1. 便携式工具,界面简洁易用,无需安装,即插即用。

2. 具备对威胁事件的快速响应处置能力,增强应急响应和分析处置能力。

2.演练场景适配

1.安全巡检

拓痕工具箱内的主机安全检测系统,依托安天强大的基础引擎和自研安全驱动,可以全面分析系统面临的安全隐患与威胁。模块输出的分析报告内容详实,便于安全管理人员掌握全网资产的安全状态,满足多场景安全巡检的工作需要。

2.恶意代码检测

依托安天20余年专业反病毒经验与能力积累,通过快速取证,可以对目标机的自启动项、进程、线程、句柄、端口、内核信息、MBR、插件、钩子、系统文件等关键位置进行全方位的检测,通过云端检测、本地引擎形成对各检测对象的威胁等级判定。

3.应急响应与处置

拓痕工具箱全部功能实现均基于 ring0 级进行开发研制,对目标主机拥有最高级别的分析处置权限,通过恶意代码检测模块检出的关键信息,使用底层驱动技术对自启动项、磁盘引导扇区、系统用户、端口、服务、进程、内核模块、消息钩子、内核钩子、SSDT、注册表等系统关键位置进行恶意攻击行为分析,并提供相应的应急处理手段。面对复杂的恶意入侵,拓痕工具箱可以提供强力的应急处置手段,保障受攻击的业务系统得到快速处置和恢复、加固,降低其再次受到攻击的风险。

3.产品能力支撑

拓痕工具箱可广泛应用于网络安全事件的应急响应、威胁检测、分析、处置、取证及 IT系统紧急运维等场景。拓痕工具箱完全由安天自主研发,融合安天核心引擎与20余年威胁对抗经验,产品安全可控,操作简单易用,在终端侧打造集安全检测、深度分析、证据提取、问题处置于一身的实用工具,形成闭环操作,有效应对安全事件各环节需求,面对威胁既可未雨绸缪、防患于未然,又能够应对有方、防微杜渐。

主机安全检测模块由便携式专用USB设备或光盘承载,界面简洁易用,无需安装,即插即用。基于国产化自主可控的威胁检测引擎(AVL-SDK)和威胁情报的扩展,实现了海量恶意代码检测和精准命名能力,并形成一定的未知威胁发现能力。能够在主机侧实现安全检测、深度分析、证据提取、问题处置的闭环操作,辅助安全人员对安全事件的全生命周期开展调查取证工作。

应急处置功能针对顽固感染中的多进程/线程保护、驱动级保护,以及 Rookit 木马的隐藏点,设计了灵活的挂载内核驱动提取与处置机制,对目标终端具有高级别的分析处置权限,且在网络安全事件中具备底层的处置能力。

同时,通过联动“探海威胁检测系统”可对终端防护软件未检出恶意威胁进行定位取证,对恶意威胁形成初步分析,对安天多产品进行知识输出;通过联动“安天追影威胁分析系统”对未检出的恶意威胁进行详细分析,可有效支撑分析人员分析恶意威胁攻击方式及逻辑,从而进行有效、快速的业务系统加固。