暗黑种族威胁发现:智能云服务滥用TeamViewer部署勒索软件

国际 虚拟云 浏览

小编:暗黑种族威胁发现:滥用TeamViewer部署威胁狩猎主管ransomwareMax Heinemeyer 8月17日星期一,2020Key takeawaysA总部位于非洲的零售组织最近遭到勒索。普遍缺乏混淆和使用非自定义恶意软件表明

暗黑种族威胁发现:滥用TeamViewer部署威胁狩猎主管ransomwareMax Heinemeyer 8月17日星期一,2020Key takeawaysA总部位于非洲的零售组织最近遭到勒索。普遍缺乏混淆和使用非自定义恶意软件表明存在低级别威胁行为。各级行为体越来越多地使用常见的管理工具,如TeamViewer和PsExec,用于隐形目的。公司规模相对较小,但没有该组织不会成为勒索攻击的目标。最近在一家非洲零售商处发现了一种勒索软件。在接下来的威胁发现中,攻击者通过TeamViewer连接到组织的域控制器,然后开始与另一个C2通信主人。大约在初始信标行为发生一小时后,网络上出现了异常的RDP/SMB,随后出现了异常的服务控制活动。暗黑种族检测到了攻击生命周期的每一阶段,并将自动中和攻击,如果黑暗种族的安提瓜配置为主动模式。然而,由于自主响应是在被动模式下建立的,需要人的安全团队的确认,所以攻击能够升级到超过其开放时间阶段。那个勒索软件活动在第一次信标活动4天后于周末开始。袭击的时间表显示出来了下面。时间线攻击:总停留时间约为7天图1:事件时间表显示攻击是否绕过了安全堆栈的其余部分?此攻击滥用了客户端(尤其是TeamViewer)已经使用的现成工具。这种以域控制器为初始向量的策略,使得恶意软件的部署变得容易且有效.AIAnalyst coverageDarktrace的Cyber AI分析师发现,SQL server正在向共享驱动器写入许多不寻常的文件,它们似乎是用于部署的二进制可执行文件勒索软件。图2: Darktrace的网络人工智能分析师揭示了不寻常的文件感染设备的概述下图详细说明了10小时内发生的异常连接和其他形式的异常活动。Darktrace的企业免疫系统首先在服务器上的法规遵从性/远程管理工具中检测到这种活动,然后看到它横向传播到组织网络中的其他设备-生态系统。图3: 显示域控制器上的外部连接数和检测到的异常情况的图表结论认为在这次攻击中,C2域有一个可访问的标准PHP数组,包括/phpMyAdmin和/p.PHP。后者详细说明服务器时间为UTC+8,即大陆时区中国。数字4: C2领域,多个因素表明低级别的威胁参与者,包括缺乏混淆、对现成工具的依赖以及目标组织相对较小的规模。随着勒索软件即服务(RaaS)、自动域生成和其他降低攻击者进入门槛的工具的兴起,即使是低级别的威胁参与者也可能破坏企业网络,这一点也不足为奇。这也意味着,原本被高级网络犯罪分子忽视的小型组织可能会发现自己成为低级别威胁发动的攻击的目标演员。真的,可以滥用TeamViewer等方便和广泛使用的工具进行访问,勒索软件的工具相当普遍,一旦站稳脚跟就很容易部署。这就要求对网络安全做出积极的反应,并充分了解网络,以便能够在威胁升级为威胁之前发现并阻止它们危机。部署周末勒索软件是一种常见的技术,可以最大限度地提高攻击者成功的机会,因为安全团队的响应时间通常较慢。这是一种更广泛的"非工作时间"攻击的趋势,这种攻击越来越普遍,这也说明了对防御技术的需求,这种技术可以自主行动,在不依赖人类的情况下遏制威胁。随着十几个人工智能模型的发射,毫无疑问,在这种情况下,暗黑种族的自主反应技术将采取有针对性和相称的反应,以遏制威胁。除了自主反应,人工智能能够调查事件并提供可操作的情报,以便安全团队能够迅速采取行动全面补救事件或解决漏洞,这对于保持快速变化至关重要威胁。谢谢感谢Darktrace分析师罗密欧(Roberto Romeu)对上述威胁的见解找到。学习更多关于自主雷斯ponseIoCs:IoCCommentts.blognewstoday[.]com 35.186.238[.]101C2信标域和托管IPDarktrace模型d测试:妥协/可疑信标行为泄露/持续的SSL或HTTP增加异常服务器活动/来自服务器的罕见外部异常服务器活动/来自关键网络的异常外部活动设备设备/网络扫描异常连接/SMB枚举设备/ICMP地址扫描设备/新的或不常见的WMI活动异常连接/新的服务控制异常连接/新的或不常见的服务控制异常连接/异常管理SMB会话正常连接/活动远程桌面隧道远程连接/不寻常的管理RDP会话设备/多个横向移动模型违规合规性/高优先级合规性模型违规合规性/SMB驱动器写入合规性/服务器上的远程管理工具Max HeinemeyerMax是一位网络安全专家,在该领域拥有超过9年的经验,专门从事网络监控和攻击性安全。在Darktrace,Max与战略客户合作,帮助他们调查和应对威胁,并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前,马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上,他是一个白帽黑客,领导渗透测试和红队的活动。当他还在德国生活时,他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学(University of Duisburg-Essen)的硕士学位和斯图加特合作州立大学(Cooperative State University Stuttgart)的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件

当前网址:http://www.vmchk.com//linggan/icon/9931.html

 
你可能喜欢的: