7月，当某集团子公司值班人员将随身携带的办公笔记本电脑接入集团总部办公网络时，集团总部内网部署的安恒信息高级威胁检测与分析系统（简称“AXDR”）响起警报。安恒信息专家工程师正在现场值守，紧急开始排查。

通过AXDR终端模块伪服务将攻击流量引流至迷网蜜罐系统并触发告警，经过对AXDR终端模块伪服务告警列表、迷网蜜罐系统告警明细的仔细研判，我司专家工程师判定这是一起外部感染设备接入网络横向攻击事件。通过AXDR平台检索发现，已有2台资产被破解成功，情况十万火急，清除威胁刻不容缓！

工程师立即使用AXDR终端模块一键隔离中间攻击源和受攻击(扫描探测)成功资产，同时通过AXDR终端模块体检报告对感染系统进行体检分析和调查取证，发现可疑连接，且伪装为某安全厂商任务栏图标程序。

通过AXDR终端模块响应中心功能对隔离感染系统远程调查，发现进程依然存在，文件存在D盘某目录下，上机使用终端杀毒软件进行终端查杀，未发现任何异常。因此，工程师判断可疑文件针对常见杀毒软件已作免杀，进一步调查取证，终于发现可疑文件在某主流安全厂商回收站目录下并已经收集大量信息。最终，工程师通过AXDR终端模块锁定造成本次事件的“元凶”。

原来是由于子公司OA系统网站被植入恶意Flash插件进行水坑攻击，所有访问OA系统的人必须下载安装Flash插件才能正常使用，导致来总部值班人员在当地网络已被下载植入水坑攻击程序，当到总部接入网络时攻击程序对集团网络进行横向扫描渗透，因AXDR平台和迷网蜜罐系统告警使事件从发生、发现、研判到隔离处置仅仅用了8分钟就完成，经过事件调查和评估，本次渗透攻击未对集团资产进行横向扩散影响。

最终还原的本次事件全貌

在本次事件中，大放异彩的就是安恒信息AXDR——高级威胁检测与分析系统。

AXDR，是基于安恒信息的威胁检测和数据分析能力，构建的一种跨多个安全层收集并自动关联信息，以实现快速威胁检测和事件响应的产品。

AXDR终端模块，是安恒信息以ATT&CK模型中TTPs（Tactics, Techniques and Procedures）的理念进行开发的模块，使AXDR进一步具备了终端入侵检测、基线采集、日志收集、流量转发、资产指纹、追踪溯源、联动响应、封禁处置等功能，具有轻终端、重联动、易取证、自溯源、全量存的优势能力。

在最新版本中，AXDR终端模块推出伪服务动态蜜罐技术，该技术是一种对攻击方进行欺骗的技术，通过将真实的核心资产或办公主机布置一些作为诱饵的未使用端口、网络服务等，使攻击方在渗透探测时对这些端口实施攻击，AXDR终端模块将端口流量转发至迷网蜜罐使攻击者进行交互式操作，从而可以对攻击行为进行捕获和分析，拖延攻击时间，缓减对真实端口定向攻击，推测攻击意图和动机，能够让防御方清晰地了解所在资产正在面对的安全威胁。

利用AXDR终端模块伪服务功能+迷网蜜罐系统相结合，可以有效检测横向渗透攻击，特别是高级持续威胁APT以攻陷某个工作站系统作为跳板，攻击、渗透、访问其它核心资产，以获取更多重要信息和敏感资源。日常运营时，可在核心资产配置伪服务功能以检测类横向渗透攻击事件，对攻击行为进行捕获和分析，拖延攻击时间，缓减对真实端口定向攻击，引诱攻击者进入蜜网，推测攻击意图和动机，能够让防御方清晰地了解和防护所在的资产正在面对的安全威胁。

未来，AXDR将会用网端结合的新一代威胁检测能力服务更多用户，历经更多实战检验，在刀锋火线上见真章。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005