使用趨勢科技產品進行調查
以下介紹遭受攻擊後的偵測和修補技術,客戶可以使用這些技術來調查環境中潛在的攻擊並進行修復。Trend Vision One™
Trend Vision One 用戶受益於整個平台的攻擊面風險管理(ASRM)和 XDR 功能,由 Trend Micro Apex One 或 Trend Vision One - Endpoint Security 等產品提供聯防,使用戶能夠及時了解這些弱點的最新資訊。 利用 Risk Insights 系列應用程式,客戶可以掃瞄和辨識受影響的資產,並了解最新的處理步驟,包括如何使用趨勢產品來偵測和防禦弱點。
Attack Surface Risk Management (ASRM) > Executive Dashboard
Trend Vision One Executive Dashboard 已推出更新的零時差弱點頁面( Zero Day Vulnerability page ),可為 Trend Vision One 用戶提供弱點相關的大量相關資訊,並將隨著更多資訊的發布而更新。
偵測模型( Detection Model)
Trend Vision One 客戶可以利用趨勢科技的 Vision One 偵測模型來掃瞄尋找潛在問題。
1.開啟 Trend Vision One 並點選至 XDR THREAT INVESTIGATION > Detection Model Management。
2.選擇以下偵測模型:
- Potential Exploitation of Microsoft SmartScreen Detected (CVE-2024-21412)
- Exploitation of Microsoft SmartScreen Detected (CVE-2024-21412)
- Suspicious Activities Over WebDav
透過Search app作查詢
Trend Vision One客戶還可以利用控制台中的通用搜尋查詢( General Search Query )功能對潛在暴險狀況進行調查。
1.開啟 Trend Vision One 並點選至 XDR THREAT INVESTIGATION > Search。
2.搜尋方法選擇General
3.輸入以下查詢條件:
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/underwall/ AND ( objectCmd:.url OR objectCmd:.cmd)
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/fxbulls/ AND ( objectCmd:.url OR objectCmd:.cmd)4.執行搜尋(如果需要,可以儲存以供後續使用)
Observed Attack Techniques (OATs)
另一個可能有用的搜尋是使用趨勢科技技術分析部落格中揭露的一些工具、策略和程序 (TTP) ,來尋找最近可能在環境中發現的 OAT。
1.開啟 Trend Vision One 並點選至 XDR THREAT INVESTIGATION > Observed Attack Techniques.。
2.選擇適當的篩選方式和搜尋參數,進行搜尋。
OSQUERY in XDR Threat Investigation > Forensics
Trend Vision One 客戶還可以利用 Vision One 中 OSQUERY 功能作為參考的取證工具,在可能未套用相關 Microsoft 修補程式的電腦上執行查詢:
1.首先,客戶必須建立一個工作區並新增要掃瞄的相關端點機器。設定相關資訊可參考此頁面
2.您要使用的特定 SQL 查詢如下
SELECT DISTINCT csname
FROM patches
WHERE csname NOT IN (
SELECT DISTINCT csname
FROM patches
WHERE hotfix_id IN (
'KB5034768',
'KB5034763',
'KB5034766',
'KB5034770',
'KB5034769',
'KB5034765'
)
)
AND hotfix_id IS NOT NULL;
趨勢科技針對攻擊的保護與偵測
首先,強烈建議用戶即時套用供應商的安全性更新。 Microsoft 已經在 2024 年 2 月發布重大安全性更新。由於該弱點資訊是透過趨勢科技ZDI提供給廠商,根據我們對漏洞資訊的分析,趨勢科技已經建立一些偵測規則,可以預防遭到該弱點的潛在攻擊。
Trend Micro Cloud One - Network Security & TippingPoint Filters
-
43700: HTTP: Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability
-
43701: ZDI-CAN-23100: Zero Day Initiative Vulnerability (Microsoft Windows SmartScreen)
-
43266: TCP: Backdoor.Win32.DarkMe.A Runtime Detection
Trend Vision One Endpoint Security, Trend Cloud One - Workload and Endpoint Security, Deep Security & Vulnerability Protection IPS Rules
- 1011949 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability (CVE-2024-21412)
- 1011950 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability Over SMB (CVE-2024-21412)
- 1011119 - Disallow Download Of Restricted File Formats (ATT&CK T1105)
- 1004294 - Identified Microsoft Windows Shortcut File Over WebDav
- 1005269 - Identified Download Of DLL File Over WebDAV (ATT&CK T1574.002)
- 1006014 - Identified Microsoft BAT And CMD Files Over WebDAV
Trend Vision One Network Sensor and Trend Micro Deep Discovery Inspector (DDI) Rules
- 4983: Microsoft Windows SmartScreen Exploit(ZDI-CAN-23100) - HTTP(Response)
Trend Micro Malware Detection Patterns (VSAPI, Predictive Learning, Behavioral Monitoring) for Endpoint, Servers (e.g. Apex One, Worry-Free Business Security Services, Worry-Free Business Security Standard/Advanced, Deep Security w/Anti-malware, etc.), Mail & Gateway (e.g. Cloud App Security, ScanMail for Exchange, IMSVA)
除了上述列出的主動漏洞防護之外,趨勢科技端點、伺服器、郵件和網路閘道解決方案還可以偵測並防禦在真實環境攻擊中觀察到的 DarkMe 惡意軟體元件(病毒碼版本19.157.00以後):
- DarkMe Downloader and Loader: Trojan.Win32.DARKME.A
- Other exploit components are detected as Trojan.HTML.CVE202421412.A and Trojan.Win32.CVE202421412.A