3、服务器C中执行GlobeImposter样本
时间:2022-03-27 09:18:01 | 来源:行业动态
时间:2022-03-27 09:18:01 来源:行业动态
服务器C部署SSR客户端,并开启了应用程序管控功能(软件白名单),其他功能暂不开启,主要验证应用程序管控功能是否可阻止GlobeImposter发作。
在执行GlobeImposter前,已经对服务器C进行白名单采集。在服务器C中执行GlobeImposter样本后,系统直接弹出该程序无法执行的提示。
打开SSR集中管理平台中应用程序管控功能监控界面,从程序运行状态中可以发现GlobeImposter.exe的信任级别为未知,在正常运行模式下,如果应用程序管控功能识别到程序为未知或黑名单,SSR将直接阻止程序的执行,如果识别为白名单或灰名单,程序将可以执行。从程序管控事件中可以看出出,SSR应用程序管控功能阻止了GlobeImposter.exe样本的执行。
从GlobeImposter传播和感染的原理,以及实际验证的情况来看,SSR5.0版本主动防御功能和应用程序管控功能均有较好的防护效果。针对GlobeImposter发作的各个阶段,SSR提供了多维度的防护功能。
在线咨询
