同顺号-创作平台

　　前言：

　　面对隐蔽化、复杂化的高级网络威胁，安星威胁检测智能体推出的DeepHunting功能，通过AI驱动，实现了攻击链路的自动化、全维度溯源。在某客户实战中，仅用30分钟即完整还原从外网SQL注入、WebShell植入到内网横向移动的全过程，效率较人工提升显著，助力企业构建主动、精准的高级威胁防御能力。

　　DeepHunting实战背景

　　告警触发，亟需全链溯源

　　某客户内网搭建完善的企业级办公与业务系统，对外通过统一网关提供Web服务，核心业务资产承载着企业核心数据与关键业务流转，一旦遭遇攻击，将造成不可估量的损失。为构建全方位安全防护体系，该客户已实网部署安星威胁检测智能体、XDR系统，并升级至搭载DeepHunting功能的最新版本，同时联动防火墙、超融合探针（CSP）、高级威胁检测设备（TAR）、全流量存储设备（NFT）等多类安全设备，实现多源数据融合互通，构建起“全域监测、协同响应”的安全防御矩阵，全面覆盖攻击告警全流程。

　　近期，某客户值班安全人员监测到核心业务系统资产触发“Webshell连接成功”告警，初步判定存在恶意WebShell连接行为，然而仅凭现有告警信息，无法还原攻击全貌、定位攻击源头与横向扩散路径，也难以排查潜在隐蔽威胁。在此危急时刻，安全团队利用DeepHunting功能，开启了一场由AI智能体主导的自主狩猎，在30分钟内便完成狩猎溯源。

　　狩猎过程：攻击者以公网 IP 为起点，首先入侵核心业务系统资产主机，并以此为跳板，向同网段两台主机A和B发起横向攻击，通过多种漏洞利用、恶意工具植入实现全面控制，涉及 Web 攻击、漏洞利用、内网穿透等多个攻击环节。

　　狩猎拓线后攻击路径图

　　DeepHunting

　　“隐秘狩猎”全流程解析

　　在本次实战中，安全人员只需向DeepHunting分析窗口输入简单狩猎指令，便触发AI智能体的全自主探索模式，快速、精准地完成溯源工作。以下为本次DeepHunting实战的详细过程：

　　将狩猎指令输入到DeepHunting的分析窗口中

　　第一步：入口溯源——精准锁定外网突破路径

　　DeepHunting启动后，首先对触发告警的核心业务资产IP进行前置行为溯源。凭借内置的多智能体协作架构，系统快速拆解攻击入口逻辑；DeepHunting的狩猎规划组率先将“排查Webshell连接源头”这一模糊需求，转化为明确的狩猎假设，并结合ATT&CK战术库，精准定位“漏洞利用、恶意脚本植入、隐蔽控制通道搭建”三大核心环节。

　　DeepHunting开始威胁狩猎

　　经自主探索，DeepHunting仅用15分钟便完整还原攻击者外网突破全过程，相较于传统人工溯源的数小时，效率实现质的飞跃。

　　1、攻击者以某公网IP为起点，通过SQL报错注入（GTID_SUBSET函数）探测数据库敏感信息（ATT&CK T1190），完成前期信息收集；

　　2、利用核心业务系统的文件上传漏洞，向/upload/avatar接口上传恶意JSP脚本（脚本内含Java Runtime命令执行逻辑），实现恶意代码植入；

　　3、在成功植入WebShell、获取初始访问权限后，攻击者迅速部署venom内网穿透工具，搭建起隐蔽性极强的双向控制通道，为后续内网横向移动奠定基础。

　　第二步：横向拓线——双线并行挖掘隐蔽攻击链

　　完成外网突破路径还原后，DeepHunting的狩猎执行组自动接管任务，按照攻击逻辑自主游走于多源数据之中，调度终端、网络、资产等全维度数据。通过逻辑物理解耦技术，自动适配不同安全设备的查询语句，在数百万条数据中进行智能过滤正常业务噪音，精准挖掘攻击者的内网横向移动轨迹。最终，DeepHunting同步发现两条隐蔽的内网横向攻击路径，实现了一击破局、全链溯源：

　　路径一：永恒之蓝漏洞利用，快速拿下内网A主机。DeepHunting通过关联核心业务资产（失陷主机）的后续行为日志，发现其对内网同网段A主机发起的定向攻击链：首先，失陷主机利用Nmap、Fscan工具对内网A主机进行端口与服务探测，精准识别目标主机的漏洞短板；随后，攻击者利用“永恒系列”漏洞（EternalBlue/SMB漏洞），成功突破A主机防御，获取系统高权限；为实现长期控制，攻击者在A主机植入Meterpreter木马，再次部署venom内网穿透工具，打通失陷主机与A主机的双向控制隧道，完成对A主机的全面接管。

　　路径二：Redis渗透攻击，实现隐蔽持久化控制。DeepHunting捕捉针对内网B主机的Redis渗透攻击：攻击者通过失陷的核心业务资产主机，利用Nmap、Fscan工具对B主机进行扫描探测，锁定Redis数据库的部署情况；随后，通过修改Redis数据库敏感配置，利用Redis写入SSH公钥，成功实现权限提升；最终，凭借SSH公钥认证，攻击者无需密码即可实现对B主机的持久化登录，并部署venom工具维持隐蔽控制，形成“外网突破-横向扩散-全面控制”的完整攻击闭环。

　　第三步：全链收网——生成结构化攻击叙事报告

　　DeepHunting的狩猎研判组在完成全流程探索后，自动完成“数据-洞察-报告”的转化，生成一份结构化、可视化的深度安全分析报告。报告以“攻击叙事”的形式，完整还原攻击的每个时间节点、操作步骤与涉及资产，清晰呈现“外网突破-内网横向-隐蔽驻留”的全攻击链条，同时标注关键漏洞、恶意工具、攻击战术，为安全团队的处置工作提供精准指引。

　　同时，DeepHunting具备“多步进式狩猎循环”能力，在狩猎过程中自主发现证据链断点，自动触发新一轮探索，直至还原完整攻击真相。

　　在本次实战中，针对攻击者隐蔽部署venom工具的行为，DeepHunting自动检索DNS日志、进程日志，定位工具部署路径与通信特征，补全了“隐蔽控制通道搭建”的关键证据，彻底打破了攻击者的规避企图，展现出其“顺藤摸瓜”的高阶溯源能力。DeepHunting在30分钟内生成完整深度安全分析报告，交付现场安全人员使用。

　　DeepHunting实战价值

　　早发现、早溯源、早处置

　　本次实网部署，充分验证了DeepHunting在应对复杂高级威胁场景下的实战价值，有效解决传统威胁狩猎耗时久、效率低、过度依赖人工、溯源不完整等问题，实现了威胁狩猎从被动排查到主动溯源、从经验依赖到逻辑驱动、从单点告警到全链拓扑的三重范式跃迁。

　　针对此类多路径、隐蔽性攻击，传统人工溯源耗时通常需6-8小时，而DeepHunting仅用30分钟便完成全流程狩猎与全攻击链还原。基于本次DeepHunting的溯源结果，该客户完成了专家经验沉淀与防护体系升级，后续同类攻击的狩猎时间被进一步压缩至30分钟内，安全分析效率提升显著，真正实现了“早发现、早溯源、早处置”的安全防护目标。

　　作为安星威胁检测智能体的核心能力，DeepHunting将AI自主探索理念与安全攻防逻辑深度融合，能在海量数据中精准捕捉攻击痕迹、还原攻击真相，有效提升高级威胁应对能力，推动网络安全防御体系从被动防御走向自主防御，为客户提供了更高效、精准、可靠的高级威胁防御解决方案。