前不久，美国网络安全和基础设施安全局 （CISA），对美国关键基础设施行业某组织进行了一次红队演练，以此评估网络安全检测和响应能力。

在前两篇文章中，小编分别介绍了红队的Nday漏洞利用和和针对域控的渗透，详见《美国顶级红队演练，只用了一个Nday？》、《美国红队演练，靠什么拿下域控？》。

随着免杀成为标配，使用EDR检测恶意文件执行后的特定行为，已经是办公网安全不可替代的手段。

只关注基础行为是远远不够的。如果忽略了横向移动、内存等高级行为，很可能会漏掉部分入侵活动；即便发现了木马活动的蛛丝马迹，也会因为处处断链而难以溯源。

红队具体入侵过程如下：

1. 红队利用SCCM服务器远程创建计划任务，横移至管理员工作站；
2. 在指定路径下创建恶意DLL，与域内某合法计划任务进行关联；
3. 为规避文件检测，红队将DLL膨胀到100MB以上，超过了上传（如沙箱）的阈值；

4. 利用合法计划任务加载恶意DLL，并通过域前置出网。

由于漏掉了前序横移行为，导致产生断链。如果是防守方视角下，这大概率就是一个合法的DLL加载过程。

值得注意的是，类似容易发生断链的场景还有很多，结合微步OneSEC长期高级威胁对抗经验，需要重点关注的高级行为，包括但不限于以下几种。

图：微步OneSEC检测到远程创建服务

图：OneSEC检测到进程A通过WMI远程创建进程B

图：OneSEC检测到异常远程线程创建

进程挖空，将一个合法进程的里所有的代码挖空并换成恶意代码。同样，EDR也容易漏掉而发起这个挖空操作的进程。

除了关注EDR自身检测能力之外，尽可能提高EDR安装率，完善基于EDR的运营和应急响应流程，也是提升EDR使用效果的关键要素。但这两方面，此次演练中防守方做得都不够好。

在安装率方面，防守方部分老旧机器没有安装EDR，这可能是性能或者兼容性问题所致，红队在这些机器上的访问权限持续到了演练结束。

在应急响应流程方面，EDR成功检出并自动处置了红队的钓鱼样本，但防守方安全团队并没有查看告警和处置详情。对于EDR发现的安全事件，正确的做法应当结合原始日志、威胁情报上下文以及其他安全产品的数据，对该事件进行综合研判，这样才能最大化发挥EDR的使用效果。