请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
本帖最后由 飞机飞行 于 2024-6-25 14:24 编辑
夏季上网高峰期来临!

各种病毒、勒索软件也在蠢蠢欲动

小安将继续为您守护当“夏”

让大家放心上网

小安义不容辞!

这片网,我罩的,懂?

360社区

360社区

安全一“夏”,装备上新——攻击痕迹检测高能上线

360的系统日志溯源功能自上线以来就广受用户好评,该功能对于帮助那些在遭遇攻击前并未安装360安全产品的用户进行溯源排查有着显著的效果。它可以通过对当前系统日志的自动扫描及分析快速定位攻击来源,理清攻击思路以便进一步做出针对性的防护与加固。
在2024护网季来临前,我们对此项完全基于本地系统日志的基础溯源功能进行了一次全面升级!新增数百项渗透痕迹的检出能力,并对每项检出都做了简要的描述。在遭受攻击之前并未安装360安全产品的环境中也能通过读取有限的系统日志,帮助广大管理员与安服人员快速定位攻击的时段及来源,同时针对某些典型场景下的攻击思路提出专门的防护建议,全方位守护你的夏日上网自由!

提升不只一点点——这些功能很Nice!

在此次“上新”的功能中,有一些颇为值得一提的能力提升。而恰恰就是这种在细节功能点上的升级,往往能够在提高整体溯源能力、协助用户查缺补漏方面起到画龙点睛的神奇作用。接下来,就让小安带大家一起了解这些超级神奇的新功能吧!
01识别远控客户端执行

此处展示的是攻击者通过SQL弱口令入侵当前系统,成功后再提权并最终向受攻击设备中植入并运行AnyDesk远控客户端的案例。
可以看到,扫描系统准确识别了AnyDesk客户端的运行事件,同时也明确指出了其“远程桌面工具”的属性。最终,对于此类程序在渗透攻击中扮演的角色以及起到的作用给出了简明扼要的说明。

360社区

360社区

图1. 识别AnyDesk远程桌面工具执行事件

02 识别利用域控批量下发指令

在具有一定规模的企/事业单位内部,网络管理人员常会通过域控制器来批量管理整个网络。由于该功能为Windows系统自带,所以使用起来也有着其特有的统一性和便捷性。不可否认这个相对独立的内部环境,在某种程度上提升了网络安全性。但与此同时,这种相对的隔离状态一旦被打破,那么该功能的便利性也势必会成为攻击者快速部署恶意软件的“帮凶”。
也正因如此,我们会看到大量入侵者在成功拿到企/事业单位内部网络的域控权限后,便如鱼得水一般,轻松通过域控制器的批量管理能力对域内所有设备快速下发各类恶意指令。
我们在此处展示了360通过扫描分析系统日志发现,一名攻击者通过域控制器对域内设备的组策略批量下发计划任务,最终实现勒索软件统一部署的事件。

360社区

360社区

图2. 识别域控通过组策略下发计划任务事件

03 识别利用“灰色”软件传播勒索软件

外挂类软件也可以算是一个较为典型的“灰色”软件门类了。这类软件或许不能直接被定性为作恶,但也难保不成为某些作恶者的帮凶。正因如此,对于此类软件的判定也常令各大安全厂商颇为头疼。而360通过长期的行为判断经验及大数据分析结论,在此类软件的辨别方面则有着较为明显的优势。
下面的截图中,展示了360在分析系统日志时准确识别此类灰色程序的运行,进而将其与勒索攻击事件进行关联,并给出了其在整个事件中所起到作用的相关说明。

360社区

360社区

图3. 识别FreeFix传播勒索软件事件

04 识别通过漏洞从驱动层面关闭安全软件

对于企/事业单位的安全防护,我们总是不断强调要开启安全防护软件,并确保其核心防护功能正常启用。
但安全永远是在一个攻防对抗中的动态平衡。安全软件不断加强防护与侦测,恶意软件也在不断提升自身攻击能力。这其中自然也不乏有恶意软件能够对安全软件展开攻击,甚至可能会在某些特定场景中占据上风。
下图所展示了360识别到了一起安全软件恶意关闭的事件。事件中的恶意软件利用漏洞,在未经授权的情况下从驱动层直接强行关闭了安全软件。在一个本就已被成功入侵的系统中,安全软件一旦遭到破坏,其所遭受的破坏程度可想而知。同时,这也展示了360攻击痕迹检测能力在管理人员策划系统防护及加固策略时所能提供的支持与助益。

360社区

360社区

图4. 识别通过漏洞从驱动层关闭安全防护软件执行勒索事件

05 识别关闭系统数据备份及保护功能

勒索攻击是当前颇受关注的网络安全事件类型。在此类攻击中,公众的核心关注点在于勒索软件对于系统数据保护能力的破坏,以及对重要数据与其备份的加密。对此,360自然也是有着针对性的识别能力。
下图给出了360对于攻击中被关闭的数据保护功能的精准识别。此类保护功能本身并不是核心数据,但却与核心数据的安全息息相关。所以对此类事件的精准识别,也能有效协助管理人员从更多维度实现对系统内数据安全防护能力进行更全面的策略指定。

360社区

360社区

图5. 识别勒索软件关闭系统数据备份及保护相关服务事件

06 更多功能持续提升中

除上述列举的功能外,本次更新也在更多的攻击溯源场景中有着更为出色的表现,在此不做过多赘述,相信使用过的用户都会对此项功能的能力有着很深的体会。同时,我们也会在后续的产品更新中不断根据新的攻防态势进一步增加更多检测项目及能力,与广大的系统管理人员及安服人员共同打造一个更加安全的系统环境。
此功能已集成在360安全卫士和360企业安全云的“远控勒索急救”中的“被攻击查询”项目内,欢迎有此方面能力需求的用户移步前往体验。

360社区

360社区

图6. 远控·勒索急救功能界面

全网首推!夏日护网小安在心动

小安深知,作为一家深耕数字安全领域多年的中国互联网安全公司,我们所积累的不仅是安全防护方面的技术能力,同时深刻的了解用户在实际使用安全防护类产品及功能时的需求及痛点。对于即将开启的护网季,我们更是明白其本身的重要性及相关用户的重视程度。

360社区

360社区

正因如此,我们也就顺应需求推陈出新,为广大用户奉上了前文所述的一系列新功能。而这一系列亮眼功能不仅是360的新功能,同时也是所有安全厂商中的首发。如果您也恰好发现这正是您寻之而未果的安全能力,或者有更多的安全防护需求,都不妨尝试一下360安全产品,相信这会让您的使用体验和整个系统的安全防护等级都有一个显著的提升!
网络安全,守护你我!未来,小安还将继续升级,为您的网络安全保驾护航!

来源  360安全卫士服务号

共 1 个关于护网行动大助力!360攻击痕迹检测上新啦!的回复 最后回复于 2024-6-29 14:27

评论

直达楼层

飞机飞行 超级版主 楼主 发表于 2024-6-29 14:27 | 显示全部楼层 | 私信

IP属地: 未知

360攻击痕迹检测上新让您的使用体验和整个系统的安全防护等级都有一个显著的提升。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:184 关注:13 积分:252617

精华:351 金币:240113 经验:210120

IP属地: 未知

最后登录时间:2025-1-24

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章

私信 加好友

最新活动

360安防硬件品牌形象感知 评论有好礼

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表