#003 · 行為分析
EDR 行為告警鏈還原分析
EDR 平台發現一則 PowerShell 告警,研發人員基於 AVL Code 進行深度分析,還原五級程序呼叫鏈,識別 DNS 隱蔽通道與 LotL 攻擊。
生成依據:AVL Code + 瀾砥大模型
EDRPowerShellDNS 隧道MITRE ATT&CK
案例概述
本案例圍繞 EDR 平台的一則 PowerShell 告警展開深度行為分析,透過父子程序關聯、DNS 隱蔽通道識別與 Living-off-the-Land 攻擊模式研判,完整還原從 winlogon 到 PowerShell 的五級呼叫鏈,並暴露出父程序可信度評估、DNS 隱蔽通道檢測與自動處置策略三方面的體系性不足。
核心成果
- 高置信度判定為 DNS-over-TXT 隱蔽通道 + LotL 攻擊,排除誤報
- 完整還原 PowerShell 五級程序呼叫鏈
- 透過簽章缺失、非系統檔案、檢測狀態 unknown 鎖定真正惡意入口點
- 解碼 PowerShell 完整命令,識別繞過技術與偽裝網域
- 精準對應至 MITRE ATT&CK T1059.001 與 T1572
技術亮點
父子程序關聯分析DNS-over-TXT 隱蔽通道識別LotL 攻擊模式研判資料驅動的證據鏈構建MITRE ATT&CK 戰術對應處置策略缺陷診斷
落地價值
幫助安全營運團隊完成誤報/漏報根因定位與處置策略調校,為威脅情報團隊擷取 IOC 與 TTP 提供可直接入庫的素材,幫助 EDR/AV 引擎團隊補強簽章校驗、編譯時間異常檢測與行為規則建設,並為管理層提供可量化的風險呈現與安全投資 ROI 參考。
相關產物
會話回放與報告為簡體中文原始記錄 · 生成依據:AVL Code + 瀾砥大模型
