一名目标索迪诺基比勒索软件袭击者的尸检，威胁猎杀部主任，2020年2月21日，星期五，上周介绍，在为期4周的试用中，Darktrace检测到了一个针对Sodinokibi勒索软件的攻击公司。这个博客文章将贯穿攻击生命周期的每个阶段，并详细介绍攻击者使用的技术、工具和程序，以及黑暗种族是如何发现攻击。那个Sodinokibi group是一个创新的威胁参与者，有时被称为"双重威胁"，因为他们能够使用勒索软件进行有针对性的攻击，同时过滤受害者的数据。这使得他们可以威胁说，如果没有赎金，他们会公开受害者的资料付了。虽然Darktrace的人工智能能够在攻击出现时实时识别，不幸的是，安全团队没有注意到这项技术，无法执行警报-也没有将Antigena设置为活动模式，这将已经放慢了脚步，控制住了威胁瞬间。时间下面的时间表提供了主要攻击阶段的大致概述。大部分袭击发生在一周内，大部分活动发生在最近三次天。技术analysisDarktrace检测到两个主要设备受到攻击：一个面向internet的RDP服务器（"RDP服务器"）和一个域控制器（"DC"），它也充当SMB文件服务器。输入以前的袭击，Sodinokibi已将主机级加密用于勒索软件活动，其中加密发生在受损主机上—与网络级加密不同的是，大部分勒索活动通过网络协议进行，如中小企业初始经过几天的妥协，受害者的面向外部的RDP服务器从位于乌克兰。很快在最初的侦察开始之前，Darktrace看到另一个RDP连接进入RDP服务器，其RDP帐户与前面所看到的相同。这种联系持续了将近一年小时。它很可能此攻击中使用的RDP凭据在攻击之前已被破坏，可能是通过常见的暴力方法、凭据填充攻击或网络钓鱼。谢谢对Darktrace的深度包检查，我们可以清楚地看到连接和所有相关的情报。可疑RDP连接输入队形：时间：2020-02-10 16:57:06 utc源：46.150.70[.]86（乌克兰）目的地：192.168.X.X目标端口：64347协议：RDPCookie:[修订]持续时间：00h41m40sData out:8.44 MBDarktrace检测来自通常不连接到的IP地址的传入RDP连接组织。攻击工具从乌克兰下载可疑的RDP连接大约45分钟后，RDP服务器连接到流行的文件共享平台Megaupload，并从好了。黑暗种族的人工智能意识到这台服务器和它自动检测到的对等组，事实上，网络上的其他人通常使用Megaupload，因此立即检测到这是异常行为，并将其标记为不寻常的。比如除了下载所用的完整主机名和实际IP外，Megaupload是100%罕见的组织。待会儿在上，我们将看到超过40GB被上传到Megaupload。不过，这个300MB的初始下载很可能是由威胁参与者下载到受害者的额外工具和C2植入物环境。内部在从Megaupload下载到RDP服务器3分钟后，Darktrace在RDP服务器上发出警报，发现网络异常扫描：RDP服务器扫描了9个其他内部设备位于同一子网的7个唯一端口上：21、80、139、445、3389、4899、8080
。任何具有攻击性安全知识的人都会将这些端口中的大多数识别为默认端口，以便在Windows环境中进行横向移动。由于这个RDP服务器通常不执行网络扫描，Darktrace再次将此活动标识为高度不正常。待会儿在，我们看到威胁者做了更多的网络扫描。他们变得更大胆，使用更通用的扫描-其中一个显示他们使用的是默认用户的Nmap代理：附加命令和控制流量，而最初的指挥和控制流量很可能主要使用RDP，威胁参与者现在希望为C2建立更多的持久性和创建更具弹性的通道。在完成初始网络扫描后不久（约2020年2月10日19:17），RDP服务器开始与异常的外部服务进行通信，这些服务对于受害者来说是独一无二的和不寻常的环境、通讯再去雷德科尼，没有其他人在网络上使用Reddcoin。应用协议和外部端口的结合对于网络as来说是非常不寻常的好吧。那个通信也转到了Reddcoin API，表示安装了软件代理，而不是手动通信。这是因为Reddcoin不仅在网络中很少见，而且是"年轻"的，也就是说，这个特定的外部目的地在25分钟之前从未在网络上被看到过之前。通信我们可以看到，Reddcoin的顶端通信是无例外的，与exceptionness[.]io的通信是以信标方式完成的，使用了Let's Encrypt证书，在网络中非常少见，并且使用了不寻常的JA3客户端哈希。所有这些都表明，在威胁参与者下载了他们的300MB内存后不久，设备上出现了新的软件工具。同时以上大部分网络活动都是在威胁参与者将工具放在RDP服务器上后直接开始的，与Reddcoin和Exceptionless接口的确切目的尚不清楚。攻击者似乎喜欢现成的工具（Megaupload、Nmap等等），因此他们可能会将这些服务用于C2或遥测收集目的。这个大部分活动在2月10日结束。更多的指挥和控制流量为什么攻击者会这样做？当然，在同一时间使用所有这些C2比仅仅使用1或2个频道噪音大得多？在2月12日和13日，观察到另一个显著的活动爆发。RDP服务器开始与外部目的地建立大量极不寻常和罕见的连接。如果以下所有服务、IP和域仅用于C2目的，则无法确定，但他们与攻击者的活动：HTTP信标到vkmuz[.]nets连接到198-0-244-153的Tor usageRDP连接的重要数量-静态.hfc.comcastbusiness通过非标准RDP端口29348RDP网络连接到92.119.160[.]60，使用管理帐户（地理位置位于俄罗斯）继续连接到MegauploadContinued SSL信标到Exceptionless[.]Icontinued connections toapi.reddcoin公司[.]comSSL信标到freevpn[.]zoneHTTP信标到31.41.116[.]201到/索引.php使用新的用户代理通常SSL连接到aj1713[.]到PastebinSSL的联机连接[.]com使用一个不寻常的JA3客户机hashSSL引导到安全代理[.]comSSL连接到westchange[.]top，无需事先查找DNS主机名（可能是机器驱动的）这里重要的是（潜在）C2通道的多样性：Tor、RDP到动态ISP地址，VPN解决方案和可能定制/定制的现成植入物（DGA外观的域和HTTP到IP地址/索引.php)为什么攻击者要这么做？当然，在同一时间使用所有这些C2比仅仅使用1或2个频道噪音大得多？一个答案可能是，攻击者更关心短期的恢复能力，而不是隐身。由于整个网络的攻击时间不到7天，大部分活动发生在2.5天以上，这是有道理的。另一种可能是，在这一攻击过程中，不同的个体并行参与其中——可能一个攻击者更喜欢RDP会话的舒适性来进行黑客攻击，而另一个攻击者则更熟练，并使用特定的后攻击框架总的来说，在这场以经济为动机的攻击中，其作案手法要比在经济上更具破坏性在高级持续威胁战役（APT）中观察到的与间谍活动有关的秘密事件。数据过滤DC在24小时内上传了大约40GB的数据到Megaupload几个小时。而以上所有活动都在RDP服务器上看到（充当初始海滩头），在与RDP位于同一子网上的域控制器（DC）上观察到以下数据渗出活动服务器。服务器DC在24小时内上传了大约40GB的数据到Megaupload小时。黑暗赛跑检测到正在进行的数据外泄-DC（或任何类似设备）从未将类似数量的数据上载到互联网。受害者所在环境中的任何客户机或服务器都没有使用Megaupload:赎金通知，Darktrace在2月13日观察到在内部SMB共享上被访问的异常文件。这些文件似乎是赎金笔记-它们跟，随机产生的命名惯例，作为其他受害者的索迪诺基比集团报告：413x0h8l-readme.txt4omxa93-readme.txt结论和观察威胁行为人似乎主要使用现成的工具，这使得归因更加困难，同时也使探测更加困难很难。这个攻击是许多典型的当前勒索软件攻击：经济动机，快速行动，和目标明确threat actor似乎主要使用现成的工具（RDP、Nmap、Mega、VPN解决方案），这使得归属更加困难，同时也使检测更加困难。使用这种工具通常可以与常规的管理活动相结合-只有在使用了异常检测之后，这种活动才能检测到了。怎么回事您能在离开您的环境的数千个常规RDP连接中发现一个异常的出站RDP连接吗？你怎么知道使用Megaupload是恶意的-与你的用户正常使用它相比？这就是黑暗种族自我学习人工智能的力量所在玩吧。黑暗竞赛检测到可见攻击生命周期的每一个阶段