–杰思獵鷹平臺提示異常訪問告警;
–回溯微隔離訪問日志,迅速定位可疑主機;
–鎖定與之相關(guān)的進程PID;(根據(jù)進程PID查找相關(guān)進程關(guān)鍵指標(biāo),發(fā)現(xiàn)該進程為rundll32,父進程為未簽名的shellcode,子進程為cmd并調(diào)用了其他程序)
–通過綜合分析,判斷該進程被植入了后門,存在與遠(yuǎn)程C&C服務(wù)器通信的風(fēng)險;
–隨即通過杰思獵鷹遠(yuǎn)程阻止該進程。
來源:中國評論網(wǎng)