2022年07月01日
NEITHNET 解決方案
NEITHNET 資安實驗室
在我們協助客戶進行駭客入侵事件調查時,往往會發現客戶原本認知的資安情況,通常與最後出爐的鑑識結果大不相同,甚至駭客的潛伏或是危害超過原本預計要調查的範圍。
以下是NEITHNET團隊在多次為客戶鑑識的結果中,經常出現的狀況:
狀況一:外部服務器的入侵,如有提供WEB服務的伺服器,駭客利用Web Shell攻擊模式,已經在多次事件鑑識中,經常看到的手法,攻擊者透過Web Shell的方式將惡意程式碼植入web伺服器中,透過這樣的惡意程式可以將web伺服器當作跳板、竊取伺服器的資料或甚至遠端操控進行其他入侵手段。
狀況二:當駭客入侵外部伺服器,利用伺服器當跳版,主要是想要利用該主機進行更深入的入侵行為,這時就會開始上傳惡意腳本,看不出是惡意程式的檔名,如index.jsp或是test.jsp,並開始與C2伺服器或是駭客中繼站進行聯繫,將主機探測的資料與結果回傳至駭客手中。
狀況三:當駭客找到重要且有價值的主機,如WINDOWS AD Server,會嘗試偷取主機中的密碼,開始下載其他惡意工具,進行主機資訊的偷取,如mimikatz,或甚至直接在其他防禦較弱的主機偷取帳密後,嘗試用相同的管理者帳密進行測試,經常有安全性較不嚴謹的單位,將所有主機都使用同一組管理者帳號密碼,當駭客確認管理者帳密後,則該台重要主機便可以為所欲為。
針對上述常見的情況,NEITHNET今年推出的NEITHViewer可以有效地提供企業或政府教育單位提早預警,搶先發現主機異常行為與連線,甚至在網路內進行的弱點攻擊、掃描等等行為。
NEITHViewer主要提供企業網管或資安人員以下協助:
1. 即時發現內網主機連線至C2伺服器或惡意位址
2. 透過連線拓樸圖找出異常連線行為,異常連線流量
3. 發現內對內的攻擊事件,透過弱點攻擊、掃描等異常網路行為
4. 動態流量監控,當發生大量資料外洩時,立即提出告警
透過NEITHViewer可提高駭客的痛苦金字塔,增加駭客入侵的難度,主要在於:
1. 當駭客探測web伺服器時,NEITHViewer IOC情資比對系統立即發現,提供告警
2. 當駭客找到跳板開始向內延伸時,NEITHViewer的內網連線行為分析,已找到不正常的連線行為。
3. 當駭客在內網進行弱點攻擊時,NEITHViewer可以針對網路封包進行深層解析,找出正在進行哪一種類的弱點攻擊行為。
4. 當駭客欲竊取資料傳回C2伺服器中,NEITHViewer已經透過IOC Visibility在地化情資比對系統和Dynamic Traffic Alert異常流量監控發現了駭客的意圖。
透過NEITHNET的NEITHViewer可快速且精確地找到內網潛伏的異常流量與行為,確保企業內重要主機的資料安全與網路安全。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com