解决方案概述：

• 该机场实施了 IBM Security® QRadar® EDR 软件，使用 NanoOS 技术实现跨端点和基础架构的卓越可见性。
                
• QRadar EDR 的行为引擎可在孤立网络上运行，而不产生性能降级。
  
  
• 利用强大的威胁搜寻功能，机场可以重建和分析事件。

由于某些端点速度似乎变慢，机场使用 IBM Security QRadar EDR 软件在气隙网络中进行了卫生检查。在初始网段上部署 QRadar EDR 后，引擎在少数设备上发现了潜在的恶意活动。根据最初的分析，某个可公开访问的信息亭是最初的入口点，但随后的分析发现了第二个入口点：来自值机区的某台设备。这两个恶意载体传播到了涉及不同网段的有限数量的设备。

由于 QRadar EDR 平台提供的可见性，该机场可在不破坏业务连续性的情况下，重现从初始点开始的事件全过程，并安全地修复感染。

根本原因分析

最初的部署发现了几个行为异常。某个应用程序在内存中安装了键盘记录器，方式是将其注入默认浏览器的隐藏实例中。之后，另一个线程清理了磁盘，以查找 Microsoft Word 文件、PDF 文件、Cookie 和浏览器数据库。这些信息被收集在一个隐藏文件夹中，并且攻击者定期尝试将其发送到某个命令和控制 (C2) 服务器，但由于网络与外界完全隔离而未能成功。

对感染载体的更深入研究带来了有趣的结果：该载体异常大，包含一系列旨在绕过本地防病毒软件和沙箱分析的机制。大尺寸很可能是为了逃避防病毒仿真引擎，因为此类系统通常会模拟整个二进制文件的一小部分。

最后确定了两个不同的载体，一个安装在公共信息亭，另一个安装在作为值机管理网络传感器一部分的设备上。尽管这两个载体看起来不同（这主要是因为有大量用于避免检测的垃圾指令），但恶意软件似乎是相同的。两个载体都试图联系同一个 C2 服务器，并以相同的方式运行。

攻击重构

仅在入侵后部署 QRadar EDR 并不能获得所有信息，并且本地基础架构仅记录最基本的操作系统级别的少量日志。尽管信息量很少，但后续分析显示，感染发生在五个月前，两个端点设备由两个不同的 USB 驱动器感染，时间相隔几天。这两个载体又感染了其他端点设备，而感染原因主要是密码强度较弱，恶意软件尝试在它可以连接的每台设备上随机匹配密码。恶意软件不断收集信息，并且似乎没有采取任何保留控制措施或对其存储器施加限制。恶意软件每八小时便尝试一次与 C2 连接，但由于气隙环境而从未成功。

最终分析表明，虽然该恶意软件具有自我复制能力，并且可以自动将其存储内容复制到外部 USB 驱动器中，但该功能并未启用。据推测，数据外泄过程应该是手动启动的。

响应和补救

机场使用 QRadar EDR 中的补救模块清理了受感染的设备，并清除了所识别的存储文件夹，以避免任何数据泄漏。实践证明，除了已识别为受感染的设备外，威胁搜寻界面对于确认整个基础设施均已排除相同载体至关重要。机场还进行了行为搜索，以确保没有恶意软件实例在其他设备上运行而未被检测到。搜索范围包括所有已识别的行为、持续威胁和数据收集方法，直到可以确认基础架构中不存在该载体及其变体。

最后，本地安全团队建立了一套更严格的内部流量控制规则。网络的公共部分与内部运营相隔离，而且本地安全团队开始运行持续的端点监视和定期的威胁搜寻活动。

气隙环境可以实现极高的安全性，但如果不以严格的方式实施，可能会产生一种虚假的安全感。尽管攻击动机仍不清楚（因为数据虽然被收集，但从未被泄漏），但我们可以肯定地断定攻击者撬开了基础架构的大门，因此不仅可以外泄信息，还可以积极破坏机场的运营。对值机区发起简单的勒索软件攻击，就会造成不可避免的延误；而对安检区发起同样的攻击，则会彻底阻止航班并造成严重影响。

该大型国际机场是世界上最大的交通枢纽之一，每年客运量达 7,000 万人次，每天起降航班超过 1,000 班。该机场被归类为关键基础设施。