应用安全

nas网络存储服务器_如何租用_企业智能建站系统

字号+ 作者:微辰云 来源:微辰云 2021-02-23 12:35 我要评论( )

恶意软件如何被滥用Sixt.com网站以及百年灵网对于秘密指挥与控制通信,威胁狩猎部主任马克斯·海涅迈尔(Max Heinemeyer)2018年3月7日星期三简介上个月,Darktrace在一个客户的设备上发现了一个高级恶意软件感染,该设备使用复杂的指挥与控制(C2)通道与

nas网络存储服务器_如何租用_企业智能建站系统

恶意软件如何被滥用Sixt.com网站以及百年灵网对于秘密指挥与控制通信,大数据 数据分析,威胁狩猎部主任马克斯·海涅迈尔(Max Heinemeyer)2018年3月7日星期三简介上个月,Darktrace在一个客户的设备上发现了一个高级恶意软件感染,该设备使用复杂的指挥与控制(C2)通道与攻击者进行通信。攻击者花了很多精力设计了一个C2通道,这个通道本来是要秘密隐藏几个月的。该恶意软件使用由域生成算法(DGAs)生成的更改域。它还将httppost请求发送到恶意IP地址,同时使用信誉良好的域名作为HTTP请求的主机名,以便与正常的web浏览相融合。攻击者实际上试图使C2通信看起来像是浏览知名汽车租赁网站的用户sixt.com网站以及豪华手表制造商百年灵网. 在没有使用黑名单或签名的情况下,Darktrace立即发现了这种异常行为,结果,安全团队立即隔离了受感染的设备。DGA网站信标一台笔记本电脑出现在网络上,发出异常的HTTP请求。最初的HTTP请求是在IP地址66.220.23[.]114上的DGA域tequbvchrjar[.]com发出的。在接下来的两天内,几百个httppost请求被发送到这个域或jckdxdvvm[.]com或cqyegwug[.]com,所有这些请求都托管在IP 66.220.23[.]114上。Darktrace将这种行为识别为到DGA域的信标(C2通信中经常使用的重复连接)。更令人怀疑的是POST请求使用了5个不同的internetexplorer用户代理来处理HTTP请求。这对于笔记本电脑来说是不寻常的行为,大数据和数据库,因为Darktrace之前只观察过googlechrome用户代理。Darktrace的无监督机器学习将用户代理识别为新的,并与DGA域一起作为异常活动。在下午到晚上使用笔记本电脑时,信标遵循稳定的模式。这在以下几天的图表中可以看到:恶意信标到信誉良好的域除了向DGA域信标外,该设备还使用主机名发出数百个httppost请求sixt.com网站以及百年灵网. 这两个域名都是相当有名的,没有公开记录表明这些域名已经被破坏。httppost请求是在没有事先获得请求的情况下发出的,wap自助建站,并且持续了几天–这是非常不寻常的行为,与用户浏览这些网站的行为不同。经过仔细检查,很明显恶意软件确实使用了主机名sixt.com网站以及百年灵网对于HTTP请求-但是它将HTTP请求发送到攻击者拥有的IP地址,大数据是什么概念,而不是发送到sixt.com网站以及百年灵网在未受感染的设备上解决。要求sixt.com网站被发送到IP 184.105.76[.]250,同时请求百年灵网发送到64.71.188[.]178。这两个IP地址以及托管DGA域的IP地址托管在同一个ASN AS6939 Hurricane Electric中,这使得这种行为更加可疑。不太可能所有域都托管在同一个ASN中。这些恶意软件的作者使用了向知名主机名发送信标的技巧,以规避基于信誉的安全控制和基于域的过滤器(如域黑名单),并转移了调查信标的安全分析师的注意力。毕竟,这种行为表面上看起来就像用户在浏览租车和豪华手表。进一步快速调查Darktrace很快透露了C2通讯的更多细节。所有的请求都被发送到可疑的PHP端点,并且在所有情况下都返回HTTP状态代码200"OK"。以下是对三个域的请求示例。Darktrace立即将此视为异常行为:从Darktrace接口直接下载了一个PCAP来检查可疑的C2通信:实际的POST数据似乎是经过编码的。使用编码的POST请求和内容类型"x-www-form-urlencoded"在恶意软件通信中很常见。活跃的恶意软件株看来这种恶意软件正在积极开发中。开源研究表明,至少自2016年底以来,行为类似的恶意软件已经传播。一些消息来源将恶意软件家族Razy和Nymaim归因于所看到的可执行文件。然而,对这些病毒株的研究很少,而且这两种病毒株在本质上都是通用的。以下是2016年的两个样本:样品1:[倒过来]样品2:[混合动力-分析网站]这些恶意软件可能代表由Darktrace识别的恶意软件的先前版本。2016版也与sixt.com网站以及百年灵网,但也向carvezine.com网站以及sivecencda.com网站. 2016年版本中未观察到DGA域。URI中的PHP端点也发生了变化。在2016年的版本中,PHP端点总是以'/[DGA string]结尾/索引.php’. C2通信通常被发送到'索引.php'端点。防御者开始监视静态URI泄露指示器(IoC)'索引.php’. 恶意软件作者也知道这一点,并相应地调整了他们的C2通信。如上面的屏幕截图所示,PHP端点现在的格式是'[DGA string].PHP'。这进一步表明,传统的控制措施(如对快速过时的妥协指标进行静态监控)在当今的威胁环境中无法扩展。结论尽管恶意软件的作者打算让他们的植入物保持秘密并击败常见的安全控制,但Darktrace立即对这种异常行为发出了警报。黑暗种族的发现再清楚不过了。下图显示了受感染设备在感染期间显示的通信的一部分。蓝线表示设备的传出连接。每一个彩色圆点都代表一个高级的暗色警报:在没有黑名单或签名的情况下,Darktrace立即检测到这种高度异常的恶意软件行为。通过对网络数据进行异常检测,很快就发现了一个原本要隐藏数月的恶意软件。妥协指标:tequbvchrjar[.]comjckdxdvvm[.]comcqyegwug[.]com66.220.23[.]11464.71.188[.]178184.105.76[.]250Max HeinemeyerMax是一位在该领域拥有超过9年经验的网络安全专家,专门从事网络监控和攻击性安全。在Darktrace,Max与战略客户合作,帮助他们调查和应对威胁,并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前,淘客模板,马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上,他是一个白帽黑客,领导渗透测试和红队的活动。当他还在德国生活时,他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学(University of Duisburg-Essen)的硕士学位和斯图加特合作州立大学(Cooperative State University Stuttgart)的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 服务器高防香港_什么是_智能家居全套解决方案

    服务器高防香港_什么是_智能家居全套解决方案

    2021-02-27 15:05

  • 云端存储哪个好_如何使用_云数据库有什么用

    云端存储哪个好_如何使用_云数据库有什么用

    2021-02-27 14:52

  • VPN 网关_数据库_怎么开通云存储

    VPN 网关_数据库_怎么开通云存储

    2021-02-27 14:39

  • 分布式数据库_高性能_企业云存储系统

    分布式数据库_高性能_企业云存储系统

    2021-02-27 14:07

网友点评