作者:雅艾尔·哈雷尔和波阿斯·巴泽尔

威胁搜索是一种主动发现和修复未被发现的网络攻击的方法. 这是一个寻找妥协迹象的过程。, 调查, 分类, 和纠正. 威胁搜索可以是由ioc驱动的, 猎者调查由外部或内部来源提供的指标. 它也可以是假设驱动的，在这种情况下，搜寻从一个最初的假设或问题开始. 例如，ab视讯下注是否受到最近新闻报道的竞选活动的影响?  喷砂代理的 威胁搜索解决方案是一个强大的平台，可帮助您及时搜索和调查事件. 在 前一章 ab视讯下注解释了如何避免勒索软件攻击的危险浪潮. 在这篇博文中, ab视讯下注将演示如何根据妥协指标寻找未被发现的攻击，例如勒索软件并阻止攻击.

 为什么威胁狩猎很重要?

端点安全专家和分析师根据威胁联盟提供的指标主动寻找和调查事件, 开源情报(OSINT), 或者外部智能. 喷砂剂的威胁搜索解决方案提供了从组织中所有端点设备收集的所有指标的实时可见性. 它提供了一个强大的调查平台，可以快速搜索指标并提供整个企业主机的所有外观列表, 事件时间表, 以及由喷砂代理自动取证收集的详细信息.  此外，该解决方案还提供了隔离和终止等可操作的响应选项.

迷宫Ransomware

迷宫 有两种最常见的勒索软件之一吗 Q3 2020. 迷宫不像典型的数据加密勒索软件. 迷宫不仅通过网络传播, 感染并加密其路径上的每一台计算机, 它还会将数据泄露到攻击者的服务器上，黑客会在那里扣留这些数据以索要赎金. 如果受害者不支付赎金，攻击者就会在网上发布这些文件.

去年12月，联邦调查局私下警告企业，与迷宫相关的勒索软件事件有所增加. 自从发出警告以来, 几家大公司都受到了迷宫的打击, 包括网络保险公司Chubb, 会计巨头MNP, 律师事务所, 一家石油公司, 美国军事导弹承包商, 商业服务巨头Conduent等等.

让ab视讯下注开始狩猎吧!

几个星期前，当勒索软件组织声称对这次攻击负责时，迷宫勒索软件成为头条新闻 弗吉尼亚最大的学校系统 扰乱了费尔法克斯县公立学校的远程教育. 这条消息可能不是最令人担忧的 终端安全 专家，但那些负责保护全球学校系统安全的人呢? 他们可能非常担心，并开始在他们的系统中寻找迷宫勒索软件的指标. 现在ab视讯下注将演示如何寻找迷宫 喷砂代理的 威胁搜索解决方案.

威胁情报增强了企业范围的可见性

ab视讯下注将从已知的迷宫IoC: 8540030a0ea3e18e84af7ce026ab9cad开始调查

查看VirusTotal, 很明显，这一指标与迷宫勒索软件密切相关:

现在，让ab视讯下注进去看看 喷砂代理的 威胁搜索仪表板. ab视讯下注看到了企业范围指标的概述，由 喷砂剂 在所有端点设备中.

ab视讯下注将使用高级调查搜索工具搜索ab视讯下注得到的指标:

ab视讯下注看到进程的名称是pithon_setup.在BOAZ-GAR-WINDOWS机器上观察到的进程没有签名. 让ab视讯下注将BOAZ-GAR-WINDOW机器添加到查询中, 搜索未签名进程并删除MD5以找到ab视讯下注尚未发现的潜在后门进程.

ab视讯下注看到ab视讯下注有76场比赛. 时间线条向ab视讯下注展示了在特定时间发生的事件的数量. 让ab视讯下注仔细看看:

通过点击红色六边形，ab视讯下注排除可信事件，出色的狩猎! ab视讯下注已经发现了攻击者用来渗透服务器并执行 Ransomware攻击. ab视讯下注现在可以隔离该进程并继续调查以跟踪组织历史中所有可能尚未激活的后门进程.

利用全球共享的威胁情报加强威胁搜寻

喷砂剂 被 检查点威胁云，最强大的威胁情报数据库. Threat云通过先进的预测智能引擎不断更新, 数以百万计的传感器的数据, 来自检查点研究和外部情报的前沿研究. 每天，Threat云分析10万亿条日志，860亿个IOCs.60亿次攻击和30亿个网站和文件. 当喷砂剂检测到可疑指标时, 它会立即发送给Threat云引擎进行进一步分析. 然后，喷砂代理将自动丰富取证报告与威胁云情报. 此外, Threat云立即共享在所有端点设备上收集的所有指标, 移动设备, 网络和云引擎, 与所有Check Point的客户合作，以确保能够更快地防止下一次攻击的发生.

Summary

在本章中, ab视讯下注解释了为什么即使组织配备了最全面的, 最先进的 终端安全 解决方案，仍然需要积极寻找仍然在雷达之下的威胁. ab视讯下注演示了如何使用喷砂剂的威胁狩猎工具来发现未被注意的攻击并进行修复. 定期使用此工具，可以帮助您为意外的网络攻击做好准备. 在下一章中，ab视讯下注将演示使用MITRE ATT的另一种威胁狩猎方法&CK仪表盘在喷砂剂的威胁狩猎解决方案.

 

原文来自: 检查点