#003 · 行为分析
EDR 行为告警链还原分析
EDR 平台发现一起 PowerShell 告警,研发人员基于 AVL Code 进行深度分析,还原五级进程调用链,识别 DNS 隐蔽信道与 LotL 攻击。
生成依据:AVL Code + 澜砥大模型
EDRPowerShellDNS 隧道MITRE ATT&CK
案例概述
本案例围绕 EDR 平台的一则 PowerShell 告警展开深度行为分析,通过父子进程关联、DNS 隐蔽信道识别与 Living-off-the-Land 攻击模式研判,完整还原从 winlogon 到 PowerShell 的五级调用链,并暴露出父进程可信度评估、DNS 隐蔽信道检测与自动处置策略三方面的体系性短板。
核心成果
- 高置信度判定为 DNS-over-TXT 隐蔽信道 + LotL 攻击,排除误报
- 完整还原 PowerShell 五级进程调用链
- 通过签名缺失、非系统文件、检测状态 unknown 锁定真正恶意入口点
- 解码 PowerShell 完整命令,识别绕过技术与伪装域名
- 精准映射至 MITRE ATT&CK T1059.001 与 T1572
技术亮点
父子进程关联分析DNS-over-TXT 隐蔽信道识别LotL 攻击模式研判数据驱动的证据链构建MITRE ATT&CK 战术映射处置策略缺陷诊断
落地价值
帮助安全运营团队完成误报/漏报根因定位与处置策略调优,为威胁情报团队提取 IOC 与 TTP 提供可直接入库的素材,帮助 EDR/AV 引擎团队补强签名校验、编译时间异常检测与行为规则建设,并为管理层提供可量化的风险呈现与安全投资 ROI 参考。