企业动态

    近日，奇安信天眼MDR安全托管服务远程分析团队发现一起极难被有效监测和清除的“金眼狗”APT攻击事件，并根据恶意样本详情在全网排查，帮助多位客户及时发现隐蔽难防的“金眼狗”APT病毒，真正实现“单点发现，全网排查”的服务效果，及时清除了客户侧存在的所有恶意样本。

    在奇安信病毒响应中心先前披露的文章里显示，金眼狗又称“看门狗”，英文名GoldenEyeDog，该黑客团伙曾广泛受到国内外安全厂商的关注和报道，主要针对在东南亚从事博彩、狗推的相关人员以及海外华人群体，业务范围涵盖远控、挖矿、DDOS和流量相关。

    由于金眼狗APT病毒样本免杀效果好、隐蔽难防，而且有些诱饵针对性强、极具诱惑性，因此，客户一旦中招，该木马就会在受害者的电脑中长期驻留，并收集客户信息，方便攻击者发起新一轮渗透攻击。

    由于该病毒的危害性较大，普通的查杀工具也有可能查杀不出来，因此，专业的技术监测和分析就显得尤为重要。

    接下来，以湖南某大型传媒公司为例，来看看他们是如何利用天眼MDR服务逮住狡猾的“漏网”金眼狗。

    事件经过：

    2022年5月25日早上,接到天眼MDR安全托管服务启动通知后，小A便开始了对新客户湖南某大型传媒公司的实时监测，在一切看似平静的监测过程中，突然监控画面上冒出了APT三个大字。

    “OMG！APT？”监测专员小A打了个激灵，立即将情报IOC输入奇安信情报中心进行查询，初步确认情报仍然有效后，立刻上报至该客户的服务专员小B，进行进一步的分析。

    APT的标签让整个事件处置变得更加紧急，所有在处置流程上的服务人员都不敢懈怠。服务专员小B根据小A提供的证据截图，确认事件真实性后迅速将事件通报给客户，建议客户及时阻断恶意域名和恶意IP，同时也开始对事件进一步研判。

    研判过程中，小B正打算去查看是否有历史告警，从历史告警中查出蛛丝马迹，却被客户微信群聊中跳出的一个“误报”打乱思绪。客户表示，没上天眼MDR之前，他们收到了此类告警，但是经过全盘查杀后，并没有任何异常，客户怀疑天眼MDR是“误报”。

    听了客户的一番描述后，此时的小B也有些发懵，“没杀出病毒，难道是人工不小心点击触发的”？为了验证天眼MDR是否存在误报，小B在客户本地设备上逐条查看了历史告警，发现告警次数与告警时间存在一定规律性，基本可以排除是人工访问导致的。

    为了进一步确认，小B将事件上报至专家组小C进行深度分析和排查。专家小C从天眼安全托管中心中看到事件的流转后，结合多年的实战经验，认为该APT组织所使用的样本更具有隐蔽性，难以被普通杀毒软件发现，因此，可以确定此次事件的确为金眼狗APT组织活动事件。

    为了最大限度控制金眼狗APT病毒进一步蔓延，专家小C对其进行了深度溯源分析，希望可以“揪出”所有的漏网恶意样本。根据已有情报，专家小C发现金眼狗曾使用魔改的Telegram安装包文件进行攻击，在排查客户受影响主机时也看到了存在Telegram软件。同时，专家小C根据情报迅速定位到一个恶意脚本位置，提取其样本后在沙箱中进行分析，以此根据样本提供的信息清除了该客户系统中存在的所有恶意样本。

    经过天眼MDR团队的努力，短短一个上午，从初始发现告警，到确认金眼狗APT病毒真实存在，再到处理完所有的恶意样本，天眼MDR帮助该客户清除了所有的“漏网之鱼”，客户也因此免受损失。天眼MDR团队用专业实力、一流服务赢得了客户的认可。

    天眼MDR是谁？

    天眼MDR安全托管服务为客户提供远程7x24小时的持续保障，融合国内领先的威胁情报、APT发现、攻防对抗等技术，依托国内最大的漏洞响应平台、互联网资产发现平台、网站云监测平台，凭借国内顶尖的安全专家团队，以及多年积累的实战经验，为客户提供威胁检测与响应服务、网站云监测服务、漏洞收集响应服务、资产发现评估服务、应急响应服务五大服务，帮助客户提高安全管理和运营水平，缩短安全事件的平均检测时间（MTTD）和平均响应时间（MTTR），解放双手的同时，让安全“永不掉线”。