GA黄金甲XDR：针对免杀C2工具的场景化检测利器

颁布功夫 2022-05-09

近年来，大量的后渗入利用（Post-Exploitation）工具包、自界说恶意软件和开源远程节造木马（RAT）等具备丰硕的检测躲避技术和反溯源能力的工具，活跃于各类实战匹敌演练、勒索攻击甚至是拥有国度布景的APT攻击之中。入侵者能够使用这类工具进行终端行为以及网络通讯流量的免杀。

在这类经过深度刷新的免杀C2工具刻下，火急必要越发壮大的协同作战体下反映对。GA黄金甲XDR规划是以紧耦合方式实现急剧威胁检测和响应的工具集，通过齐全覆盖终端威胁检测与响应（EDR）、加密隧路检测、全流量取证分析、沙箱样本分析、攻击链还原等主题能力，有效检测和拦截主流免杀C2工具。

本文以Cobalt Strike为例，看GA黄金甲XDR规划若何精准拿捏它。（Cobalt Strike作为一款渗入测试工具，集成了多种职能，又长于“团战”，被业界人称为CS神器。）

“终端侧+网络侧”左右开弓精准拦截各类下载行为

Cobalt Strike将入侵执行的内容payload拆分为两部门，即stager和stage（也就是beacon）。stager通常是经过手工优化的汇编指令，用于下载shellcode，解密出beacon并注入内存，由beacon掌管后续的C&C有关工作，整个过程被称为“staging”。

对于下载器stager，GA黄金甲XDR规划中的流量检测及沙箱检测职能能够正确鉴别大部门stager及shellcode的下载行为。

然而，经验老路的入侵者通常不会使用该攻击框架原生的stager，而是使用自己开发的工具代替stager下载执行beacon。

面对这种情景，GA黄金甲XDR规划能够从终端侧进行检测拦截。stager在落地过程中通常城市有shellcode下载、文件落地、内存注入行为。GA黄金甲EDR通过构建终端行为基线，对这类时序谬误行为、基线偏离行为进行检测防护，并凭借自身有效过程级监控采集与威胁研拍钴力，构建终端登陆流水、过程快照、帐号快照等，实时发现帐户提权及过程提权行为、预警风险点、美满采集信息，为后续威胁溯源提供有力支持。

机械进建助力精准鉴别加密隧路

Cobalt Strike Beacon落地后，会成立C2隧路，定期发送心跳包与服务器通讯，期待获取后续入侵指令。在终端侧，GA黄金甲EDR通过号令执行内容研判及反弹衔接行为研判，对C2隧路持续监控和实时预警；在网络侧，GA黄金甲XDR规划中的流量检测引擎可对高度定造化的HTTP Beacon、HTTPS Beacon及DNS Beacon进行有效检测。

对于HTTP Beacon，入侵者能够自由地批改配置文件来进行高度自界说化的配置，甚至能够将通讯流量假装成其它正常利用网站的接见流量，以躲避流量安全审查和检测。GA黄金甲XDR规划通过泛化处置要求头的分歧部门，如要求步骤method、url结构、要求头集中等，聚类出HTTP Beacon的要求模板，并凭据每个模板组件的呈显斓率，分配分歧分值。同时结合盛行为特点推算盛行为分值。最后凭据要求模板、盛行为的各自权沉做出综合判定，得到泛化能力较强的HTTP Beacon检测模型。

对于HTTPS Beacon，入侵者会借助CDN接入服务或域前置技术将流量转至真实C2服务器，以躲避流量审查。GA黄金甲XDR规划通过指纹、SNI、证书、盛行为等多个维度针对大量恶意流量进前进建，有效鉴别使用CDN、免费证书、API等方式的HTTPS Beacon，并对域前置技术进行深刻钻研，提取通用域前置鉴别步骤，能最大限度检测域前置入侵。

对于DNS Beacon，入侵者通过收受某个域名解析，使得对该域名的所有子域解析要求最终达到C2服务器上，而后利用DNS要求和响应来承载经过编码或加密的数据内容。GA黄金甲XDR规划针对DNS隧路与正常DNS要求的差距性，如：要求大幼、要求域名、要求距离、频次等多个维度抽取特点向量进行机械进建鉴别，得到泛化能力较强的DNS Beacon检测模型。

齐全还原攻击链入侵足迹无处逃形

GA黄金甲XDR规划凭借独有的攻击链还原职能，通过线索发现、扩线关联、攻击模型映射三个重要步骤，援手用户可视化还原出齐全的攻击链路图，找到入侵蹊径及系统脆弱性环节，急剧相识造成入侵事务的原因、攻击源、后续操作、损失领域，精准分解入侵事务，具体描述入侵手法，预测入侵者主张与打算。

线索发现即确定性线索和非确定性线索的关联过程。确定性线索即网络侧、终端侧确定入侵成功并且能相互印证的正确线索。非确定性线索即在网络侧、终端侧发现的不能确定是否入侵成功的辅助线索。确定性线索与非确定性线索进行扩线关联后，GA黄金甲XDR规划会依照功夫、入侵者受害者关系、ATT&CK模型映射拟合等将各个扩线实现的攻击线索串联成齐全的攻击链，再结合人为确认、剪枝等处置过程最终形成对整个入侵事务的描述。

GA黄金甲XDR规划坚守创新，针对监管侧、关基、工业互联网、当局、集团型企业等沉点利用场景的高级威胁检测与防护需要，通过整合网络侧及终端侧事务和谍报信息，综合利用自动取证和拓线技术，以系统化方式实现对高级威胁或入侵的急剧精准检测和响应，进一步提高用户的纵深防御成效。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲