事件经过
ReliaQuest在6月5日发布的威胁聚焦文档,其代理AI关联了分散的、看似不相关的端点和网络遥测,以识别和升级针对运行生命周期终结Microsoft IIS服务器的中国关联间谍集团(OP-512),这些服务器运行.NET Framework 4.0。攻击者部署了三个自定义Web shell,具有每个部署的密码学唯一性、加密命令通道、反射加载、时间戳篡改和基于DNS的已部署URL自报告。检测依赖于w3wp.exe DNS查询和ASP.NET临时编译路径的行为信号,而非签名。
影响分析
这是代理AI执行多信号事件关联的有文档记录的生产实例,这是典型SOC驻留时间的人类分析师会错过的 — 不仅仅是总结。对于评估AI辅助SOC工具的安全团队,它说明了检测价值和治理要求:AI关联必须与可解释的证据追踪和人工验证配对,然后才能升级,因为相同的置信度既可以表面真实威胁,也可以从人类审查中抑制弱证据。
适用范围
SOC团队和MDR买家应该评估其AI关联工具是否产生可解释的证据追踪;处理IIS环境的IR团队应该实施OP-512行为检测(w3wp.exe十六进制编码DNS查询、异常.ashx响应);基础设施团队应该审计并淘汰EoL .NET Framework 4.0主机。