Managed XDR 服務案例

偵測

事件類型:
網頁後門執行命令

規則名稱:
Potential Chopper Webshell Execution

影響範圍:
1伺服器 0 用戶端 1 使用者帳號

內容:
主機名稱:WEB4
執行命令:cmd  /c "cd /d "D:\PHPData\finance\excel"&ver&echo [S]&cd&echo [E]"
使用者:iis apppool\defaultapppool

調查

針對主機進行RCA (Root Cause Analysis,根因調查):
駭客透過IIS網站元件w3wp.exe與網站虛擬帳號iis apppool\defaultapppool執行CMD操作多個命令

 

偵測執行紀錄:
紀錄駭客執行Tasklist、Findstr、Quser、Expand等操作行為,了解並分析駭客意圖與產生影響

 

植入惡意程式:
分析發現駭客使用相同的網頁後門,上傳1.cab檔案植入其他惡意程式

 

可疑物件清單:
列出駭客產生與使用的檔案清單

回應

遠端回收樣本:
資安分析師可直接透過監控平台回收可疑樣本,無須使用者操作或執行其他工具

電話與郵件通知客戶:
電話與郵件聯絡使用者說明事件影響範圍並提供其他緊急措施,通報內容範本請參考 案例一通報單

偵測

事件類型:內網擴散

規則名稱:

說明:
人員分析事件來源的電腦名稱“backup”,應為備份用途的伺服器 ,不應使用高權限帳號admin對其他主機建立、執行、刪除工作排程觸發規則,駭客常用此手法規避資安軟體偵測,判斷為可疑事件。

調查

主機行為分析:
backup主機出現大量“DNS response resolves to dead IP address”事件,查詢異常格式網域*test[.]tkti[.]me,可能使用DNS Tunnel 方式進行連線與外傳資料

 

帳號行為分析:
駭客使用外洩帳號透過網路芳鄰(SMB)連線其他主機,定位影響範圍提供客戶清查。

 

IOC 擴大調查:
有其他電腦查詢相同中繼站位置*test[.]tkti[.]me,發現更多受駭主機

回應

電話與郵件通知客戶:電話與郵件聯絡使用者說明事件影響範圍並提供緊急措施,通報內容範本請參考  案例二通報單