行业新闻与博客

安全研究人员在发现新的 Lazarus Group 攻击成功绕过一家加密货币公司的高级 EDR 和网络安全性后，敦促组织提高事件检测和响应团队的技能。

战术情报报告详细介绍了去年发生的一次攻击，这是朝鲜政府资助的该组织针对加密公司开展的更广泛的多年运动的一部分。自 2018年以来一直活跃，攻击者可能在至少 14 个国家 / 地区使用了相同的人工制品：美国，中国，英国，加拿大，德国，俄罗斯，韩国，阿根廷，新加坡，香港，荷兰，爱沙尼亚，日本和菲律宾。

Lazarus Group 投入了“巨大的努力”来绕过受害组织的网络防御，例如在受感染的主机上禁用 AV 并删除恶意植入的证据。然而，F-Secure 说，这些行动本身就是“嘈杂的”，是应该采取的明确迹象。

该小组还使用本机 OS 实用程序进行了混合，但是“ F-Secure 再次表示：“所使用的命令元素通常会异常，并使用特定的深奥字符串为蓝队提供检测机会。

报告指出：“这些命令可以与标准活动融合在一起，因此可能无法为所有使用的技术建立高保真度检测。”

“在这种情况下，使用较低保真度的检测，然后在主机的基础上进行汇总，以关联活动并在警报系统中建立智能阈值，可以帮助检测恶意活动而不会产生过多的误报。”

实际上，Lazarus Group 一直使用与 2016年所观察到的相同的工具系列。由于这些混淆技术，它仍然有效，尽管这提供了进一步的检测机会。

F-Secure 得出结论，有效的检测和响应不仅在于拥有正确的工具，还在于知道要寻找什么的用户。

它说：“此次调查的目标是安装了领先的 EDR 和网络安全工具，该工具捕获了拉撒路集团行动的遥测信息，但这并未导致采取积极行动。”

“ F-Secure 认为，人们在建立有效的检测能力方面起着重要作用，而这一事件是需要对人和技术进行投资的一个例子。”

本文由机器译制