360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅動大師
魯大師
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛士
清理大師
省電王
360商城
流量衛士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設產品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領航版
標準升級版
后視鏡版
車載電器360攻擊痕跡檢測上新
功能上新
360的系統日志溯源功能自上線以來廣受用戶好評,該功能對于幫助那些在遭遇攻擊前并未安裝360安全產品的用戶進行溯源排查有著顯著的效果。其可通過對當前系統日志的自動掃描及分析快速定位攻擊來源,理清攻擊思路以便進一步做出針對性的防護與加固。
在2024護網季來臨前,我們對此項完全基于本地系統日志的基礎溯源功能進行了一次全面升級。新增數百項滲透痕跡的檢出能力,并對每項檢出都做了簡要的描述。在遭受攻擊之前并未安裝360安全產品的環境中也能通過讀取有限的系統日志,幫助廣大管理員與安服人員快速定位攻擊的時段及來源,同時針對某些典型場景下的攻擊思路提出專門的防護建議。
功能提升點
在此次“上新”的功能中,有一些頗為值得一提的能力提升。而恰恰就是這種在細節功能點上的升級,往往能夠在提高整體溯源能力、協助用戶查缺補漏方面起到畫龍點睛的神奇作用。下面通過一些具體的事件來說明這些新增的功能點。
識別遠控客戶端執行
此處展示的是攻擊者通過SQL弱口令入侵當前系統,成功后再提權并最終向受攻擊設備中植入并運行AnyDesk遠控客戶端的案例。
可以看到,掃描系統準確識別了AnyDesk客戶端的運行事件,同時也明確指出了其“遠程桌面工具”的屬性。最終,對于此類程序在滲透攻擊中扮演的角色以及起到的作用給出了簡明扼要的說明。
圖1. 識別AnyDesk遠程桌面工具執行事件?
識別利用域控批量下發指令
在具有一定規模的企/事業單位內部,網絡管理人員常會通過域控制器來批量管理整個網絡。由于該功能為Windows系統自帶,所以使用起來也有著其特有的統一性和便捷性。不可否認這個相對獨立的內部環境,在某種程度上提升了網絡安全性。但與此同時,這種相對的隔離狀態一旦被打破,那么該功能的便利性也勢必會成為攻擊者快速部署惡意軟件的“幫兇”。
也正因如此,我們會看到大量入侵者在成功拿到企/事業單位內部網絡的域控權限后,便如魚得水一般,輕松通過域控制器的批量管理能力對域內所有設備快速下發各類惡意指令。
我們在此處展示了360通過掃描分析系統日志發現,一名攻擊者通過域控制器對域內設備的組策略批量下發計劃任務,最終實現勒索軟件統一部署的事件。
圖2. 識別域控通過組策略下發計劃任務事件?
識別利用“灰色”軟件傳播勒索軟件
外掛類軟件也可以算是一個較為典型的“灰色”軟件門類了。這類軟件或許不能直接被定性為作惡,但也難保不成為某些作惡者的幫兇。正因如此,對于此類軟件的判定也常令各大安全廠商頗為頭疼。而360通過長期的行為判斷經驗及大數據分析結論,在此類軟件的辨別方面則有著較為明顯的優勢。
下面的截圖中,展示了360在分析系統日志時準確識別此類灰色程序的運行,進而將其與勒索攻擊事件進行關聯,并給出了其在整個事件中所起到作用的相關說明。
圖3. 識別FreeFix傳播勒索軟件事件?
識別通過漏洞從驅動層面關閉安全軟件
對于企/事業單位的安全防護,我們總是不斷強調要開啟安全防護軟件,并確保其核心防護功能正常啟用。
但安全永遠是在一個攻防對抗中的動態平衡。安全軟件不斷加強防護與偵測,惡意軟件也在不斷提升自身攻擊能力。這其中自然也不乏有惡意軟件能夠對安全軟件展開攻擊,甚至可能會在某些特定場景中占據上風。
下圖所展示了360識別到了一起安全軟件惡意關閉的事件。事件中的惡意軟件利用漏洞,在未經授權的情況下從驅動層直接強行關閉了安全軟件。在一個本就已被成功入侵的系統中,安全軟件一旦遭到破壞,其所遭受的破壞程度可想而知。同時,這也展示了360攻擊痕跡檢測能力在管理人員策劃系統防護及加固策略時所能提供的支持與助益。
圖4. 識別通過漏洞從驅動層關閉安全防護軟件執行勒索事件
識別關閉系統數據備份及保護功能
勒索攻擊是當前頗受關注的網絡安全事件類型。在此類攻擊中,公眾的核心關注點在于勒索軟件對于系統數據保護能力的破壞,以及對重要數據與其備份的加密。對此,360自然也是有著針對性的識別能力。
下圖給出了360對于攻擊中被關閉的數據保護功能的精準識別。此類保護功能本身并不是核心數據,但卻與核心數據的安全息息相關。所以對此類事件的精準識別,也能有效協助管理人員從更多維度實現對系統內數據安全防護能力進行更全面的策略指定。
圖5. 識別勒索軟件關閉系統數據備份及保護相關服務事件?
更多功能持續提升
除上述列舉的功能外,本次更新也在更多的攻擊溯源場景中有著更為出色的表現,在此不做過多贅述,相信使用過的用戶都會對此項功能的能力有著很深的體會。同時,我們也會在后續的產品更新中不斷根據新的攻防態勢進一步增加更多檢測項目及能力,與廣大的系統管理人員及安服人員共同打造一個更加安全的系統環境。
此功能已集成在360安全衛士和360企業安全云的“遠控勒索急救”中的“被攻擊查詢”項目內,歡迎有此方面能力需求的用戶移步前往體驗。
圖6. 遠控·勒索急救功能界面?
功能首推,全面護網
作為一家深耕數字安全領域多年的中國互聯網安全公司,我們所積累的不僅是安全防護方面的技術能力,同時深刻的了解用戶在實際使用安全防護類產品及功能時的需求及痛點。而對于即將開啟的護網季,我們更是明白其本身的重要性及相關用戶的重視程度。
正因如此,我們也就順應需求推陳出新,為廣大用戶奉上了前文所述的一系列新功能。而這一系列亮眼功能不僅是360的新功能,同時也是所有安全廠商中的首發。如果您也恰好發現這正是您尋之而未果的安全能力,或者有更多的安全防護需求,都不妨嘗試一下360安全產品,相信這會讓您的使用體驗和整個系統的安全防護等級都有一個顯著的提升。
京公網安備 11000002000006號