CDN

cdn业务资质_表较好的_云数据服务

字号+ 作者:微辰云 来源:微辰云 2021-02-23 12:01 我要评论( )

大型游戏狩猎:Ryuk勒索软件如何摧毁其威严的目标,威胁狩猎主管Max Heinemeyer,2009年10月2日,星期三近年来,网络犯罪分子越来越多地将他们的努力转向复杂的,针对大公司的远程攻击-一种被称为"大型游戏搜索"的策略。与旨在大规模交付恶意软件的标准化

cdn业务资质_表较好的_云数据服务

大型游戏狩猎:Ryuk勒索软件如何摧毁其威严的目标,威胁狩猎主管Max Heinemeyer,2009年10月2日,大数据时代的特点,星期三近年来,网络犯罪分子越来越多地将他们的努力转向复杂的,针对大公司的远程攻击-一种被称为"大型游戏搜索"的策略。与旨在大规模交付恶意软件的标准化网络钓鱼活动不同,大型游戏搜索涉及利用单个高价值目标的特定漏洞。捕捉此类攻击需要人工智能工具来学习每一个独特的用户和设备的正常情况,从而照亮他们不寻常活动的微妙迹象介绍。进来下面详述的威胁是,网络犯罪分子以一家拥有Ryuk勒索软件的大公司为目标,Darktrace在试用部署期间观察到了这一点。在这种定制攻击的最后阶段,Ryuk通常只加密攻击者手工选择的每个目标环境中的关键资产。以下是这一事件的发展过程,以及人工智能自主响应技术,如果处于主动模式,将如何控制威胁秒:事件概览图1: 入侵期间警报的聚集(右上角)源于目标公司对"自我"不断发展的理解,DarktraceAI在事件过程中标记了无数异常行为的实例-在上面的可视化中,数据挖掘和大数据,每个都由一个点表示。异常活动是根据每种行为与所涉及的用户和设备的"正常"相比的异常程度来垂直组织的。彩色圆点代表了特别高的可信度检测,这应该促使安全部门立即进行调查团队。妥协了管理员密钥攻击的第一个迹象是极不寻常地使用了以前在网络上没有见过的管理员帐户,这表明攻击者已经获得了对外部帐户的访问权在横向移动到受监控环境之前,黑暗种族试验的有限范围。如果Darktrace部署在整个数字基础设施中,那么最初的账户被劫持的情况就会很明显。尽管如此,Darktrace还是会反复实时地对异常的管理会话发出警报,如图所示下图:图2:强烈检测到泄露的管理员证书此行为是典型的大型狩猎。攻击者没有在访问网络时立即发射其有效载荷,而是进行了一种长期的妥协,以获得瘫痪的最佳位置攻击。渗透via TrickBotDarktrace随后检测到臭名昭著的TrickBot银行特洛伊木马正在下载到网络上。虽然攻击者已经通过泄露的管理员凭据进行了访问,但Trickbot被用作进一步恶意文件的加载程序和附加的命令和控制(C&C)通道。最常见的剥削后步骤曾:图3:检测到后一阶段的Trickbot下载命令和控制通信当Trickbot感染开始时,Darktrace观察到C&C通信返回给攻击者。尽管许多设备表现出异常行为,但Darktrace将其中一种设备定位在感染的关键部位。下图显示了在这个单一的设备:图4:每一个彩色圆点都代表一个暗色检测-上面使用TLS指纹识别可以看到非常明显的恶意活动链-也称为JA3,这是之前一篇博客文章的主题-Darktrace检测到一个新的软件从这个设备到多个不寻常的目的地进行加密连接,一种被称为信标。图5: 此图中的通信被过滤到异常的TLS连接-清楚地显示出在妥协期间通信的峰值软件加密开始后,与C&C基础设施建立连接后,Ryuk勒索软件最终部署。在这个"嘈杂"的时期,许多可疑的中小企业活动,黑暗种族更清楚地表明了严重性和程度攻击:图6:一个不同的,非签名依赖勒索软件检测的样本,在短短12小时内,Ryuk已经加密了超过200000个文件。整个事件发生在36个小时之后,该公司关闭了网络以防止进一步发生损坏。勒索软件回顾事件发生后,该公司将最初的妥协追溯到他们在另一个国家的网络部分,而在这个试验期间,Darktrace对该部分网络并不了解。这种感染一直蔓延到最近安装的文件服务器,而事实上,Darktrace正在监视这个服务器。攻击者很可能访问了一个用于构建此服务器的管理帐户,此时,他们拥有启动Ryuk所需的访问权限勒索软件。这个该事件使Darktrace处于观察勒索软件攻击的独特位置,内部IT团队没有看到或执行任何警报,在没有任何干预和反应的情况下,演示这种攻击可以做什么。如果该公司积极监控其暗黑竞赛部署,安全团队就会像每天数千名用户那样,实时收到警报并采取行动基础。自主对救援的反应如果该公司部署了自主反应技术,对暗黑种族警报的关注不足也就无关紧要了。虽然从可执行文件下载到第一个加密文件已经过去了四个小时,但自主响应可以在几秒钟内消除威胁,防止大范围的破坏,给安全小组关键的时间抓捕向上。那个下面的屏幕截图显示了Darktrace在文件服务器泄露开始时检测到的一段摘录。检测结果按时间顺序从下到上列出,以及暗黑种族的人工智能自动响应工具Antigena将采取的行动拍摄:不寻常的管理员在服务器上没有记录到单一的安全漏洞,但是没有安全措施提高警觉并做好准备介入。新的客户端上的管理员凭据-攻击者在deviceAntigena操作中使用多个新的管理员凭据:现在有了威胁的高可信度证据,Antigena强制执行设备的典型"生命模式";所有通常登录到此设备的管理员都可以继续这样做,消费返现,而新的其中一个被阻止登录小时。可疑TLS信标-指挥和控制TLSAntigena上的通信量行动:Antigena再次实施"生命模式",在这种情况下,通常的出站通信(如软件更新)是允许的,但新的和不寻常的通信(如C&C流量)被阻止两次小时。网络扫描-攻击者扫描网络以识别进一步的受害者Santigena操作:此服务器以前从未扫描过网络-只有管理设备执行此操作。Antigena因此停止设备扫描网络两次小时.EXE从罕见的外部位置(从顶部第二个位置)-攻击者下载后期有效负载以进一步感染Antigena操作:Antigena仍然允许设备进行正常下载,同时阻止来自罕见位置的下载,大数据啥意思,它从未表现出的行为以前。在总的来说,Antigena会通过强制执行正常行为来采取适当的措施,而不是将二进制块(例如完全隔离设备)作为遗留工具会。到了解Antigena如何在不中断正常业务运营的情况下消除威胁,请查看我们的深入白皮书:黑暗种族安提吉纳:人工智能驱动的自主的未来响应最大值HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家,专门从事网络监控和攻击性安全。在Darktrace,Max与战略客户合作,云服务器多少钱一年,帮助他们调查和应对威胁,并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前,马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上,他是一个白帽黑客,领导渗透测试和红队的活动。当他还在德国生活时,他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学(University of Duisburg-Essen)的硕士学位和斯图加特合作州立大学(Cooperative State University Stuttgart)的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 美国cn2服务器_表较好的_个人云存储服务

    美国cn2服务器_表较好的_个人云存储服务

    2021-02-27 11:12

  • cdn服务资质_阿里云_大数据开发

    cdn服务资质_阿里云_大数据开发

    2021-02-27 05:10

  • cdn业务资质_哪里买_云服务器跟vps

    cdn业务资质_哪里买_云服务器跟vps

    2021-02-26 22:20

  • cdn经营许可证_表较好的_云服务和云计算

    cdn经营许可证_表较好的_云服务和云计算

    2021-02-26 16:18

网友点评