近日，国家信息安全漏洞共享平台发布的安全公告提及了向日葵命令执行漏洞，入侵者可利用该漏洞远程获取个人电脑或服务器的控制权。面对诸如此类的安全威胁，如何对其影响范围进行定位并执行应急处置，看启明星辰（002439）天珣终端高级威胁检测与响应系统（以下简称“天珣EDR”）如何应对。

　　全量信息采集 精准定位漏洞终端

　　向日葵程序只有在运行后才有被利用的可能，要想加以阻止首先需要明确在网内都有哪些终端运行了此程序。天珣EDR具备全量终端运行信息采集能力，涵盖进程、文件、应用、命令行等十余类大项、超百种参数信息，可完整复现终端运行过程，利用采集到的运行过程信息添加带有判定规则的二次挖掘能力，在向日葵远程命令执行漏洞中，天珣EDR通过自定义策略找出了运行低于“向日葵远程控制_11.0.0.33162”版本的进程，成功定位到包含漏洞应用的终端。

　　严密布控 全面检测攻击“第一步”

　　天珣EDR进程检测还全面覆盖了进程启动时带出来的命令行信息与进程运行的夹带参数，防止漏洞被恶意利用，例如新增用户、用户提权等。对高危命令及账户变动，均可进行有效检测，严密监控布防攻击“第一”阶段。

　　端口扫描检测 防止漏洞被利用

　　向日葵远程命令执行漏洞中的关键利用点是要先知道向日葵程序对外使用的端口，例如在外部采用xrkRce.exe工具进行定向的漏洞扫描行为，针对这种漏洞扫描行为，天珣EDR可以进行有效检测并阻断，保护终端安全。

　　这样一看，即使没有漏洞特征，天珣EDR依旧可以通过高度灵活的自定义信息挖掘能力，让漏洞无所遁形，详细呈现远程命令执行运行的各个动作，并通过简单的关联分析得到完整回溯入口。有了充足的信息做支撑，用户后续可以继续使用天珣EDR来指定响应处置，形成对“0day”“在野”“新型”漏洞的安全闭环，在及时发现威胁线索的同时降低运维成本。

　　据NVD报告显示，2021年漏洞CVE数量创下了历史新高，但漏洞终究是发生在终端的安全问题，天珣EDR凭借在终端安全相关领域多年的实践经验，提炼出贯穿漏洞应急发现、定位、处置环节的完整闭环，保障用户终端安全。

　　作为网络安全行业的领军品牌，启明星辰集团将进一步发挥突出的技术优势与经验积累，继续在终端安全领域开拓创新，助力网络安全行业健康稳定发展。

---

 

启明星辰股票行情：

（诊股日期：2022-03-01）

● 短期趋势：弱势下跌过程中，可逢高卖出，暂不考虑买进。

● 中期趋势：正处于反弹阶段。

● 长期趋势：迄今为止，共16家主力机构，持仓量总计1684.86万股，占流通A股2.33%

综合诊断：启明星辰近期的平均成本为23.98元，股价在成本上方运行。空头行情中，目前正处于反弹阶段，投资者可适当关注。该股资金方面呈流出状态，投资者请谨慎投资。该公司运营状况尚可，多数机构认为该股长期投资价值较高，投资者可加强关注。