CrowdStrike跟360有什么差别?
不知道CrowdStrike?
那太正常,你只需要知道这是由“正确”主导整出来的产物,带有浓厚的背景,且禁止对中国,只外和在国内的外企公司。
之所以见不到,除了不对国内的原因,更因为这是一款EDR终端产品,只服务企业,不做个人零售。
技术方面确实强,EDR属于第一梯队层次,蓝屏那事情嘲讽归嘲讽。
<>第一部分:Caron(检测能力)
介绍:
该场景遵循Tla的多阶段攻击方法,在受害者网络上植入一个持久性水坑,以此入侵更多潜在的受害者。Tla通过鱼叉式网络钓鱼邮件获得初始的访问权限,将伪造的软件安装程序下载到受害者机器上并执行EPIC载荷。一旦建立了持久化和C&C通信,就将尝试发现一个域,并将CARON-DLL传入受害者网络。攻击者进一步横向移动到LinuxApache,将PENQUIN复制到并用于配置水坑攻击。
<>第二部分:Snake(检测能力)
介绍:
该场景延续了Tla的多阶段情报收集活动,攻击者建立和抢注了一个域名包含错别字的钓鱼,以拥有高价值信息的实体为目标。Tla利用有EPIC载荷的Adoe{过}{滤}Flash安装程序,以受害者为目标,在受害者的网络上进行安装。EPIC载荷通过代-理与C&C进行S通信,通过注入进程持续运行,并在受害者的设备网络上执行枚举。然后部署SNAKE以维持持久化、提升权限并通过/TP/DNS与C&C通信。最后,攻击者横向移动安装LightNeon,使Tla能够收集和过滤敏感通信,以进一步实现任务目标。
结果:
第三部分:保护
结果:
