捕捉利用零日漏洞的APT41，Threat Hunting主管，2020年4月2日，星期四执行摘要Darktrace在3月初发现了几起针对性很强的攻击，远远早于任何相关的特征出现。两周后，点云，这些攻击被归咎于中国威胁参与者APT41。APT41利用了Zoho ManageEngine零日漏洞CVE-2020-10189。Darktrace在最早阶段自动检测并报告了攻击，使客户能够在威胁发生之前控制住威胁冲击力此处所述的入侵是APT41更广泛活动的一部分，海量数据，旨在在CVE-2020-10189提出的机会窗口期间获得尽可能多的公司的初步准入权。Darktrace生成的报告强调并描述了事件的形式有意义的安全叙述。即使是一个初级的响应者也可以回顾这个输出，并在不到5年的时间里对这个零日APT攻击采取行动几分钟。打架APT41的全球攻击3月初，大淘客网，Darktrace检测到几起针对美国和欧洲客户的高级攻击。这些客户大多在法律部门。这些攻击使用相同的技术、工具和过程（TTP），针对面向公众的服务器，并利用最近的高影响漏洞。上周，FireEye将这一可疑活动归咎于中国网络间谍组织APT41。这一活动利用Zoho ManageEngine零日漏洞CVE-2020-10189访问了多家公司，但在最初的入侵之后几乎没有发现任何后续行动。这项活动表明，在机会Darktrace观察到的恶意活动发生在2020年3月8日星期日晚些时候和2020年3月9日上午（UTC），与之前中国人的办公时间大致一致网络间谍组织APT41。下图显示了来自APT41目标客户之一的示例性时间表。在其他客户环境中观察到的攻击包括相同。图1： 攻击技术分析的时间轴此处描述的攻击围绕Zoho ManageEngine零日漏洞CVE-2020-10189展开。大部分袭击似乎都是自动化。我们观察到最初的入侵，几个后续的有效载荷下载，以及指挥与控制（C2）通信量。在所有情况下，活动都在攻击生命周期的任何后续步骤（如横向移动或数据外泄）之前被包含已经确认了下面的截图显示了主要的人工智能分析师检测报告的概述。它不仅报告了SSL和httpc2流量，物联网协议，还报告了有效负载下载：图2：Cyber AI Analyzer检测SSL C3图3：Cyber AI Analyzer检测有效负载初始危害最初的危害始于成功利用Zoho ManageEngine零日漏洞CVE-2020-10189。在最初的入侵之后，Microsoft BITSAdmin命令行工具被用于获取和安装恶意批处理文件，描述下图：install.bat（MD5:7966c2c546b71e800397a67f942858d0）来自端口12345上的基础设施66.42.98[.]220。源：10.60.50.XXDestination:66.42.98[.]220目标端口：12345内容类型：application/x-msdownloadProtocol:HTTPHost:66.42.98[.]220URI:/test/install.bat方法：GETStatus Code:200图4:出站连接获取批处理文件在最初的妥协后，第一阶段钴打击信标装载机已下载。图5： 探测钴打击信标装载机命令和控制流量有趣的是，Teamviewer活动和Notepad++下载是在一些客户攻击中C2流量开始的同时发生的。这表明APT41试图使用熟悉的工具，而不是完全依赖于-land.Storesyncsvc.dll是一个钴撞击信标植入物（试验版）与交换.dumb1[通信]。已识别到74.82.201[.]8的成功DNS解析，Darktrace将其识别为使用动态DNS成功连接到主机名属性。多个连接到交换.dumb1[通信]被确认是指挥控制中心的信标。这个指挥与控制通信流到最初的钴打击信标被用来下载第二阶段有效载荷。有趣的是，Teamviewer活动和Notepad++的下载是在一些客户攻击的C2流量开始的同时进行的。这表明APT41试图使用熟悉的工具，而不是完全依赖土地生活。这两种工具的使用至少可以高度肯定地归因于这种入侵，而不是常规的业务活动。Notepad++通常不在目标客户的环境中使用，Teamviewer也不使用——事实上，这两个应用程序的使用对于目标客户来说是100%不寻常的组织。攻击工具下载certutil.exe，作为证书服务的一部分安装的命令行程序，然后利用外部连接和下载第二阶段有效载荷。图6： Darktrace检测到CertUtilA的使用在这个可执行文件下载几个小时后，受感染的设备发出了一个出站HTTP连接，请求URI/TzGG，它被确认为MeterMeter正在为钴攻击下载更多的外壳代码灯塔。图7： 检测与流量计活动相关无横向移动或显著数据漏出观察到了。怎么了赛博人工智能分析师报告说，零日开发暗黑竞赛不仅检测到这一零日攻击活动，而且网络人工智能分析师此外，通过调查不同的安全事件并生成一份报告，立即使他们能够采取行动，从而节省了安全团队宝贵的时间行动。那个下面的屏幕截图显示了在一个受感染的环境中报告的AI分析师事件，在入侵期间的八天内。左边的第一个事件表示这里描述的APT活动。其他五个事件独立于APT活动，而不是严重。数字8： AI AnalystAI Analysti分析人员发现的安全事件在8天内总共报告了6起事件。每一个AI分析师事件都包括一个详细的时间轴和事件摘要，以一个简洁的格式，平均需要两分钟来回顾。这意味着，有了网络人工智能分析师，即使是非技术人员也可以在不到五天的时间内对这一复杂的零日事件做出反应分钟。结论APT41在本质上非常复杂，为了速度牺牲了隐形技术，同时瞄准了许多公司。APT41希望利用Zoho零日在IT员工开始工作之前提供的有限机会修补。没有公开的妥协指标（IOC）或任何可用的开源情报，有针对性的攻击极难被发现。此外，物联网公司排名，如果安全分析师在早期阶段无法采取行动，即使是最好的检测也毫无用处。这种情况经常发生是因为大量的警报，或者仅仅是因为分流和调查的技能障碍太多高。这个这似乎是APT41为获得许多不同公司和行业的初步准入而开展的广泛活动。虽然APT41在本质上非常复杂，但它牺牲了隐形技术来换取速度，同时瞄准了许多公司。APT41希望利用Zoho零日在IT员工开始工作之前提供的有限机会修补。暗色种族其网络人工智能专门设计用于在早期发现有针对性的未知攻击的细微迹象，而不依赖于事先的知识或IOC。它通过从零开始不断学习每个用户、设备和相关对等组的正常行为模式来实现这一目标。面对APT41最近的零日攻击活动，人工智能的能力（a）通过自学习人工智能检测未知威胁，以及（b）通过人工智能驱动的调查和报告来增强紧张的响应者，这被证明是至关重要的。事实上，它确保了袭击在升级到后期阶段之前得到迅速控制生命周期。指标妥协选择黑暗种族模式违规：异常文件/从稀有外部异常文件/EXE从稀有外部位置妥协/SSL到DynDNSCompliance/CertUtil externalconnectionanomous的脚本连接/CertUtil请求非证书非正常连接/CertUtil到罕见的目的地Nomalous连接/新用户代理到没有主机名设备的IP/初始破坏链泄露/缓慢的引导活动到外部RareCompromise/引导活动到外部稀有文件/Numeric Exe DownloadDevice/大量模型破坏异常服务器活动/罕见的外部服务器损坏/持续的TCP信标活动到服务器上罕见的EndpointCompliance/远程管理工具下面的屏幕截图显示了在一个客户：图9：Darktrace模型出现漏洞联网IoCs:IoCComment66.42.98[.]220初始危害和有效载荷下载74.82.201[.]8C2的DNS解析域名交换.dumb1[.]comMain C2域91.208.184[.]78二次钴走向C2HostIoCs:IoCCommentFilenameMD5Hashinstall.bat7966c2c546b71e800397a67f942858d0storesyncsvc.dll590983db4d9023e4098e56361c96a6f2.exe3e856162c6b532925c8226b4ed3481ctzgg659bd19b562059ff0cc978e15624fd9mitre ATT&CK technologies observed initial AccessT1190–利用面向公共的应用程序1133–外部远程服务执行t1064–脚本化持久性1050–新建ServiceT1197–BITS JobsPrivilege EscalationT1068–利用权限升级防御规避1055–进程注入t1197–BITS JobsDiscoveryExfiltrationCommand ControlT1043–常用端口st1071–标准应用层协议t1132–数据编码t1008–回退通道max HeinemeyerMax是一个网络安全专家，在该领域有超过九年的经验，专门从事网络监控和攻击性安全。在黑暗种族