基于原生工具的数据采集立足E+N新架构，实现威胁检测与响应的更简单、更有效、更高性价比

深信服XDR通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台，通过云端专家服务提供威胁狩猎能力，提供SAAS化交付方式实现在线化效果，为用户带来深度检测、精准响应、持续生长的价值。组件构成：SAAS化/本地版XDR平台 + NDR（STA/NTA/SIP）+ EDR + AC、AF、云眼、云镜（可选）

目前横向移动（Lateral movement）已成为需要留意的主要威胁之一。成功的横向移动攻击可以使攻击者闯入用户现有系统，并访问系统资源。横向移动攻击充分体现了“网络安全链的强度完全取决于最薄弱的那一环”这一观点。高级持续性威胁（APT）是横向移动带来的最常见网络攻击类型。如果网络有足够多未加保护的漏洞，只要有足够的时间，黑客最终就可以访问域控制器(核心服务器)本身，进而可以攻击企业的整套数字基础设施；在每年的攻防演练当中，也是攻击队扩大战果、获取高分数的主要手法；

目前安全建设者主要通过部署NDR的方式对此类行为进行检测识别，通过流量镜像的方式分析网络当中的数据包走向，针对某个特定的IP地址或者资产，通过协议解析后对频率、账号、漏洞payload特征字段为主元素的行为进行统计，从而定位此类攻击行为；但此类方法面临着如下挑战：1.部分攻击流量仅通过汇聚层的交换机，导致流量探针无法镜像到该部分的攻击流量；导致无法识别。2.产生的告警质量不高、误报(假阳性)与漏报的情况十分普遍；尤其是一些日常的运维主机(RDP、SMB)、共享服务器(SMB协议)、内部的安全测试、业务服务器(外联、代码不规范)由于正常的业务需求导致的一系列假阳性告警(alerts），导致事件的研判与排查难度大，任务繁琐。

在真实的攻击过程中攻击者主要通过2类的工具发起横向移动的攻击：自开发或第三方黑客工具、系统自带的应用/业务进程；由于当前攻击的境况越发不对等，绕过的手法越发普遍，导致无论是第三方的黑客攻击还是业务系统，传统的杀毒软件(EPP)均无法进行识别；从流量层面来看，无法区分当前的横向移动行为(扫描、爆破、漏洞利用、恶意登录等)的来源，只能进行全部告警，导致现在的NDR类产品产生大量质量不高的告警(业务误报、规则误报、真实攻击)，从而真实的隐蔽攻击被淹没在大量的假阳性告警之中。

为了更好的识别此类攻击行为，将业务场景所导致的告警给筛选出来，将准确的告警重点标识出来紧急响应，从而减少安全运营工作的繁琐提升效果。XDR创新性的使用终端行为日志/告警、与NDR的告警数据关联分析的方法从而准确的识别当前告警的恶意性；分别了结合网络层的行为数据、终端侧的进程数据进行互补，对当前告警的意图进行定性；

webshell 最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80/8080等web端口传递的，因此一般不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。同时伴随着对抗的加密，当前大量攻击者使用加密、免杀、混淆等对抗技术，导致现有的网络层安全产品无法对此类攻击进行有效防护；因此，在当前的攻防演练与黑产的活动中，均作为较大的攻击打点的突破口，是攻击者十分热门的技术之一

当前攻击者较多的利用web漏洞、上传接口、编辑器接口的方式发起webshell的上传攻击，同时会利用特殊字符编码、倒序、注释等多方式进行混淆以绕过现有的WAF、态势感知类产品的防御战线；此处目前主要有二个关建技术：1.是否当前上传的样本为webshell；2.识别当前上传的webshell上传是否成功；当前众多的安全产品通过流量镜像、协议解析的方式可以将上传的文件进行还原、对文件的内容借助当前AI+算法与语义分析的维度进行检查排查，从运营的数据来看准确率较高；识别恶意文件容易，但是识别此类行为是否上传成功，则面临着较大的技术挑战；

目前依靠NTA类的产品面临着较多的问题是，可以识别到该攻击行为，由于当前webshell的对抗激烈，安全厂商较多的使用AI算法进行检测混淆的脚本攻击，导致误报率也有所提升，无法直接进行联动封堵导致业务异常；同时态势感知类产品定位到该恶意文件但是无法判断当前的样本已经上传成功，于是出现了大量的webshell上传的攻击告警，但无法确定当前的行为是否已经上传成功，无法对当前的行为进行下一步的处置；部分厂商的攻击成功主要依赖于对响应数据的分析，比如包含状态200、返回路径、相应数据包大小等字段，但由于大量的业务开发者习惯，实际业务当中出现了大量的无响应事件、200返回成功单实际未成功的场景；基于此背景、当前大量的webshell攻击一方面无法对攻击结果进行研判、另外一方面的上传成功存在大量误报；

由于单侧的数据相对有限应对复杂的业务场景，导致误报问题、海量告警的事件导致真实的攻击无法进行有效识别；XDR从另外一个思路去解决此安全问题，当攻击者发起webshell上传攻击的背景下，一旦攻击者上传成功则同时会在对应的主机网站目录上生成对应的恶意文件，终端侧可根据对应的生成时间、文件大小、内容等多个维度自动化关联到网络侧的webshell上传攻击，从而证明之前的此攻击的成功；基于此类方法可大幅度提高webshell上传攻击的成功率，最高可达99%以上，大幅度减少不成功的攻击告警、聚焦有效攻击行为。

" 无文件攻击 " 不代表真的没有文件，只是一种攻击策略，其出发点就是避免将恶意文件放在磁盘上，以逃避安全检测。因为无文件攻击无需落地到目标的磁盘，因此反病毒引擎一般很难检测到，即使通过检测内存来试图追踪内存中的“无文件攻击”，但往往只能采用白名单等笨方法，但攻击者利用内存滞留技术往往能把杀毒软件耍得团团转。举个例子:传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件（例如exe）复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的，无文件落地攻击是指即不向磁盘写入可执行文件，而是以脚本形式存在计算机中的注册表子项目中，以此来躲避杀软的检测，那么绕过了传统防病毒（AV）寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。

根据CrowdStrike Services的事件响应团队发现，10个成功入侵的攻击向量中有8个使用了无文件攻击技术。由于传统安全解决方案极难检测到无文件攻击，因此无文件攻击正在增加。为什么当今市场上的一些端点保护技术，对这些无恶意软件入侵如此脆弱。

深信服XDR主要从关联思路的思路进行破局、基于时序关联的能力从网络层行为特征、终端层的登录日志出发针对该场景，深度识别对应的攻击状态；网络侧识别到对应的攻击行为，可获取到对应的攻击IP地址、时间等维度，同时对终端侧的日志进行重点筛选以确认其攻击状态的成功性；linux当中主要为auth.log、windows主要查询windows的安全日志(4624登录成功、4625登录失败)；基于E+N的关联分析 能够覆盖目前主要的SSH、RDP、SSH等热门的暴力破解攻击，并能够准确筛选出对应的成功事件；

自活跃以来，APT32 一直持续针对我国进行网络攻击。在攻击过程中，APT32 一直在尝试不同方法以 实现在目标系统上执行恶意代码和绕过安全检测，其中经常使用的包含白利用和 C2 流量伪装等。最近一次APT32 针对我国进行攻击的诱饵，该诱饵使用了两层白利用进行 DLL 劫持，第一层为 Word 白利用，第二层为 360 安全浏览器白利用，最终投递的木马为 Cobalt Strike Beacon 后门，C2通信使用 Safebrowsing 可延展 C2 配置；