终端安全

永恒之黑蓝屏攻击防御演示

 

  1. 本次演示利用永恒之黑蓝屏复现攻击过程,以及sdedr对此攻击过程的防御效果
  2.  
  4.  
  5. 演示流程说明
  6.     1、演示环境说明
  7.     2、攻击过程描述
  8.     3、在启动sdedr时,演示攻击过程,及防御效果
  9.     4、平台上查看攻击事件的日志
  10.     5、在不启动sdedr时,演示攻击过程,及攻击效果
  11.     
  12.     
  13. 一、演示环境说明
  14.     靶机是win10 1909的虚机,如左边显示
  15.     靶机IP:192.168.12.155
  16.     攻击机IP:192.168.12.139
  17.     
  18.     
  19. 二、攻击过程描述
  20.     由于本次演示的是蓝屏攻击,所以先看防御效果,再看攻击效果
  21.     这样可以减少演示的时间
  22.     
  23.     在攻击机上启动攻击程序,发起攻击
  24.     sdedr检测到攻击事件,进行拦截,并上报事件日志,此时靶机不会蓝屏
  25.     
  26.     退出sdedr程序,再次执行攻击程序
  27.     由于本次靶机没有sdedr的保护,发生蓝屏
  28.     
  29.     
  30. 三、演示防御效果
  31.     登录平台,查看网络威胁日志,新的日志ID为
  32.     
  33.     sdedr检测到攻击事件,进行拦截,并上报事件日志,此时靶机不会蓝屏
  34.     为了防止频繁上报事件,会在本地暂存一分钟,
  35.     需一分钟后才能在平台上看到日志信息
  36.     
  37.     
  38. 四、查看攻击日志
  39.     登录平台,查看网络威胁日志,新的日志ID为
  40.     
  41.     
  42. 五、演示攻击效果
  43.     在不启动sdedr时,先看看利用永恒之黑攻击的效果,蓝屏复现
  44.     
  45.     
  46.     sdedr为防止频繁上报事件,会在本地暂存一分钟
  47.     然后集中上报
  48.     所以平台上查看时,要等一分钟才能看到事件日志
  49.     
  50.     
  51.     注:
  52.     本项目是一个demo,所以webui做的并不漂亮
  53.     但是,数据间的逻辑关系还是能看明白的
  54.  
  55.