360攻击痕迹检测上新

      功能上新

      360的系统日志溯源功能自上线以来广受用户好评，该功能对于帮助那些在遭遇攻击前并未安装360安全产品的用户进行溯源排查有着显著的效果。其可通过对当前系统日志的自动扫描及分析快速定位攻击来源，理清攻击思路以便进一步做出针对性的防护与加固。

      在2024护网季来临前，我们对此项完全基于本地系统日志的基础溯源功能进行了一次全面升级。新增数百项渗透痕迹的检出能力，并对每项检出都做了简要的描述。在遭受攻击之前并未安装360安全产品的环境中也能通过读取有限的系统日志，帮助广大管理员与安服人员快速定位攻击的时段及来源，同时针对某些典型场景下的攻击思路提出专门的防护建议。

      功能提升点

      在此次“上新”的功能中，有一些颇为值得一提的能力提升。而恰恰就是这种在细节功能点上的升级，往往能够在提高整体溯源能力、协助用户查缺补漏方面起到画龙点睛的神奇作用。下面通过一些具体的事件来说明这些新增的功能点。

      识别远控客户端执行

      此处展示的是攻击者通过SQL弱口令入侵当前系统，成功后再提权并最终向受攻击设备中植入并运行AnyDesk远控客户端的案例。

      可以看到，扫描系统准确识别了AnyDesk客户端的运行事件，同时也明确指出了其“远程桌面工具”的属性。最终，对于此类程序在渗透攻击中扮演的角色以及起到的作用给出了简明扼要的说明。

图1. 识别AnyDesk远程桌面工具执行事件

      识别利用域控批量下发指令

      在具有一定规模的企/事业单位内部，网络管理人员常会通过域控制器来批量管理整个网络。由于该功能为Windows系统自带，所以使用起来也有着其特有的统一性和便捷性。不可否认这个相对独立的内部环境，在某种程度上提升了网络安全性。但与此同时，这种相对的隔离状态一旦被打破，那么该功能的便利性也势必会成为攻击者快速部署恶意软件的“帮凶”。

      也正因如此，我们会看到大量入侵者在成功拿到企/事业单位内部网络的域控权限后，便如鱼得水一般，轻松通过域控制器的批量管理能力对域内所有设备快速下发各类恶意指令。

      我们在此处展示了360通过扫描分析系统日志发现，一名攻击者通过域控制器对域内设备的组策略批量下发计划任务，最终实现勒索软件统一部署的事件。

图2. 识别域控通过组策略下发计划任务事件

      识别利用“灰色”软件传播勒索软件

      外挂类软件也可以算是一个较为典型的“灰色”软件门类了。这类软件或许不能直接被定性为作恶，但也难保不成为某些作恶者的帮凶。正因如此，对于此类软件的判定也常令各大安全厂商颇为头疼。而360通过长期的行为判断经验及大数据分析结论，在此类软件的辨别方面则有着较为明显的优势。

      下面的截图中，展示了360在分析系统日志时准确识别此类灰色程序的运行，进而将其与勒索攻击事件进行关联，并给出了其在整个事件中所起到作用的相关说明。

图3. 识别FreeFix传播勒索软件事件

      识别通过漏洞从驱动层面关闭安全软件

      对于企/事业单位的安全防护，我们总是不断强调要开启安全防护软件，并确保其核心防护功能正常启用。

      但安全永远是在一个攻防对抗中的动态平衡。安全软件不断加强防护与侦测，恶意软件也在不断提升自身攻击能力。这其中自然也不乏有恶意软件能够对安全软件展开攻击，甚至可能会在某些特定场景中占据上风。

      下图所展示了360识别到了一起安全软件恶意关闭的事件。事件中的恶意软件利用漏洞，在未经授权的情况下从驱动层直接强行关闭了安全软件。在一个本就已被成功入侵的系统中，安全软件一旦遭到破坏，其所遭受的破坏程度可想而知。同时，这也展示了360攻击痕迹检测能力在管理人员策划系统防护及加固策略时所能提供的支持与助益。

图4. 识别通过漏洞从驱动层关闭安全防护软件执行勒索事件

      识别关闭系统数据备份及保护功能

      勒索攻击是当前颇受关注的网络安全事件类型。在此类攻击中，公众的核心关注点在于勒索软件对于系统数据保护能力的破坏，以及对重要数据与其备份的加密。对此，360自然也是有着针对性的识别能力。

      下图给出了360对于攻击中被关闭的数据保护功能的精准识别。此类保护功能本身并不是核心数据，但却与核心数据的安全息息相关。所以对此类事件的精准识别，也能有效协助管理人员从更多维度实现对系统内数据安全防护能力进行更全面的策略指定。

图5. 识别勒索软件关闭系统数据备份及保护相关服务事件

      更多功能持续提升

      除上述列举的功能外，本次更新也在更多的攻击溯源场景中有着更为出色的表现，在此不做过多赘述，相信使用过的用户都会对此项功能的能力有着很深的体会。同时，我们也会在后续的产品更新中不断根据新的攻防态势进一步增加更多检测项目及能力，与广大的系统管理人员及安服人员共同打造一个更加安全的系统环境。

      此功能已集成在360安全卫士和360企业安全云的“远控勒索急救”中的“被攻击查询”项目内，欢迎有此方面能力需求的用户移步前往体验。

图6. 远控·勒索急救功能界面

      功能首推，全面护网

      作为一家深耕数字安全领域多年的中国互联网安全公司，我们所积累的不仅是安全防护方面的技术能力，同时深刻的了解用户在实际使用安全防护类产品及功能时的需求及痛点。而对于即将开启的护网季，我们更是明白其本身的重要性及相关用户的重视程度。

      正因如此，我们也就顺应需求推陈出新，为广大用户奉上了前文所述的一系列新功能。而这一系列亮眼功能不仅是360的新功能，同时也是所有安全厂商中的首发。如果您也恰好发现这正是您寻之而未果的安全能力，或者有更多的安全防护需求，都不妨尝试一下360安全产品，相信这会让您的使用体验和整个系统的安全防护等级都有一个显著的提升。