利用人工智能检测比特币挖掘活动，利用Citrix Netscaler Vulnerabilities Max Heinemeyer，Threat Hunting总监，在过去的14天里，2020年1月27日，星期一，Darktrace检测到至少80个不同的客户都是同一个CVE-2019-19781漏洞攻击的目标—影响Citrix ADC（Citrix Application Delivery Controller）和Citrix Gateway solution for public cloud。在"活动模式"下运行暗黑种族安提瓜的客户都看到，这一攻击在秒。根据国家网络安全中心称，利用此漏洞可让"未经验证的攻击者执行任意代码"。虽然Citrix发布了缓解建议，但补丁程序刚刚推出。不幸的是，这留下了一个关键的时间窗口，在此期间攻击者可以利用这些漏洞。然而，暗黑种族的免疫系统技术可以有效地阻止攻击并控制破坏。这个博客文章概述了利用Citrix漏洞下载加密挖掘恶意软件的攻击生命周期。很有意思的是，网络犯罪分子如何迅速地将Citrix的漏洞与加密挖掘有效载荷进行武器化，以获取利润。它表明，在当今快速移动的威胁环境中，人工智能驱动的自主响应至关重要，修补程序可能不可用或需要数周才能安装安全。破坏攻击生命周期以下对观察到的攻击阶段的描述说明了Darktrace Antigena的独立和立即的行动如何阻止攻击，提供完整攻击生命周期的可见性，并显著降低安全小组的调查时间活动。黑暗竞赛的检测功能突出显示了被利用的Citrix Netscaler设备执行shell所采取的步骤命令。这些设备首先接收对易受目录遍历攻击的uri的HTTP POST请求，例如/vpn/../vpns/cfg/smb.conf公司。这在以下由提供的详细信息中可见黑暗种族。图1： 特定设备上请求的屏幕截图这些POST请求后面是Darktrace创建的高可信度警报-不同目标组织的攻击行为非常相似。无论目标是什么，高置信度警报同样相似，因为攻击行为是相同。代码执行被触发，导致下载shell脚本和其他恶意软件，最终目标是运行加密挖掘恶意软件。一些高可信度警报是：妥协/具有信标分数的高容量连接–用于识别命令和控制流量合规性/Pastebin–在可疑和异常的Pastebin活动期间触发符合性/加密货币挖掘活动异常连接/到Rare端点的多个失败连接-表示命令和控制流量尝试失败从Rare External获取异常文件/脚本–指示从目标组织不常访问的internet上的位置下载脚本文件（通常这是初始感染或后期有效负载），在一个示例中，可以看到网关设备从俄罗斯一个罕见的外部端点下载一个shell脚本，其中/ci.shURI.图2： 黑暗种族的威胁可视化工具显示了一个带有100%稀有文本的端点，被发现从乌克兰下载了一个可执行文件([.]12/netscalerd），包含一个精灵：BitCoinMiner恶意软件, 触发加密货币挖掘和指挥控制信标警报。图3： C2流量触发的罕见外部位置异常文件/EXE图4:Darktrace显示下载的马尔瓦良即时响应的更多详细信息但是，Darktrace Antigena作为机器防御者开始工作，消除了传入的阻止矿工文件下载和活动大约一天的威胁。这为客户提供了充足的时间来应对这种异常活动，并阻止恶意软件向其他设备的传播。以外科手术的精确性进行干预，Antigena停止恶意活动，同时允许正常业务流程继续，图5： 在易受攻击的设备上按时间顺序（从下到上）发出警报并采取反窃听措施以供将来利用Citrix ADC的漏洞已引起安全界的关注，这是可以理解的。基于警报的累积和性质，该恶意软件旨在像其他许多活动一样挖掘加密货币天。开另一方面，也许在这里更重要的是，最近发现的这种漏洞加强了自主响应的理由，以及它已经证明的防止新奇事物的能力攻击。在我们经常是黑暗种族问我们如何检测零日漏洞。攻击生命周期的每一个阶段——从执行来自Pastebin的命令到执行内部侦察和挖掘加密——都涉及到在某种程度上偏离了企业免疫系统学习到的"生命模式"的行为。安提吉纳在不依赖预先确定的黑名单的情况下压制了这些攻击，也没有新的发现。利用网络人工智能，使用Citrix漏洞的比特币恶意软件被立即控制住了——在对客户指标85.178.45[.]221（托管恶意外壳脚本）92.63.99[.]17（挖掘池）217.12.221[.]12（托管恶意软件）Max HeinemeyerMax是一名网络安全专家，在专业从事网络监控和攻防安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件