亿格云EDR在一次客户安全事件中展示了其高级威胁检测和内存扫描能力,成功识别并阻止了利用误导性安装包进行的内存中执行shellcode的攻击。文章讨论了此类免杀攻击的技巧和传统防护手段的挑战,强调了基于SASE架构的亿格云枢在终端安全领域的优势。
近期,领先的SASE安全厂商亿格云进行了重要的EDR功能更新,其中包括高级威胁行为检测、内存扫描以及终端事件审计和溯源等功能。在最新的一次客户使用过程中发现了多起安全事件,于是我们随即配合客户进行了详尽的调查。
接下来,我们将回顾一个木马安全事件的全过程...
近日,某客户因攻防演习迫切需要保障公司的终端安全,于是紧急为员工办公终端部署了「亿格云枢EDR模块」。云枢产生了1条高危告警引起客户的高度关注,我们立即配合并协助客户进行深入的事件调查与解决!
首先,我们根据客户提供的控制台告警信息进行初步分析:
管理控制台显示表明: “疑似有恶意进程正在运行!”
亿格云枢EDR具备对终端文件和系统内存实时扫描的能力,告警正由此触发。于是,我们立即对该告警的详细信息进行了检查:
显然,客户似乎在网络上下载了一个安装包,而这个安装包的命名相当具有误导性,显示为"微云安装包",但却缺乏与腾讯相关的签名信息。身为多年的安全从业人员,我
最低0.47元/天 解锁文章
扫一扫
到【灌水乐园】发言
