剖析由我们的Darktrace applianceKeith Siepel捕获的零日特洛伊木马程序，大数据实战，免费自助建站系统，Hydrotech，Inc.的IT经理（特邀撰稿人）| 2月4日星期一，2019以下嘉宾撰写的博客文章分析了Darktrace在客户的网络。以前我已经谈到了Darktrace是Hydrotech的一个力量倍增器。作为一个例子，我将分享一个在周四下午被我们的Darktrace系统捕获的零日特洛伊木马的解剖图，1月17日。以下过程在20分钟内全部完成。在最初确定VMWare重新组合过程后的5分钟内开始修复。虽然以下通知出现在下午1点38分，但我正在处理另一个无关的问题，直到下午2点15分才发现这一信息，此时我开始调查和补救努力。黑暗种族电子邮件通知@美国东部时间2018年1月17日下午1:38：2019-01-17 18:37:57 UTCo365n-88。ad.水压技术[.]com违反了"Antigena/Network/External Threat/Antigena恶意软件文件模式的Life Block"FileTransfer:：Exe文件传输以文件类型（application/x-dosexec）启动2019-01-17 18:37:57 UTCo365n-88。ad.水压技术[.]com违反了"Antigena/Network/External Threat/Antigena恶意软件文件块"FileTransfer:：Exe文件传输以文件类型（application/x-dosexec）启动2019-01-17 18:38:05 UTCo365n-88。ad.水压技术[.]com违反"来自客户端块的Antigena/网络/重大异常/Antigena重大异常"来自罕见外部位置的异常文件/多个EXE2019-01-17 18:38:14 UTCo365n-88。ad.水压技术[.]com违反了"Antigena/Network/External Threat/Antigena File then New Outbound Block"来自罕见外部位置的异常文件/EXE查看Darktrace漏洞日志第一个漏洞日志显示下载的文件名为"媒体表.bin"这之后不久，又下载了第二个由该名称下载的文件"OfficeActivate.bin"此时，我联系了终端用户，告诉他们我要执行紧急情况在VMWare中重新组合—将他们的虚拟机恢复到以前已知的良好的操作系统版本—以阻止30分钟前下载的可疑软件。此操作将有效删除已安装在虚拟桌面上的所有应用程序电脑。之后开始重新组合的工作，然后我继续运行我收集的网址virustotal.com网站去看看到底发生了什么下载：用于文件媒体表.bin, virustotal.com网站通知我四个引擎检测到URL包含恶意内容。用于文件OfficeActivate.bin, virustotal.com网站通知我有三个引擎检测到URL包含恶意内容。回顾我们的入侵检测系统在防火墙上显示了以下初步批准，随后是第二次警报-几个小时后，在这些文件被下载后，这一决定被更改为恶意诊断。1/17/2019 13:38文件已扫描69.163.33[.]84允许OfficeActivate.bin下载自[[时间]84:8080/ELjOX2c8/OfficeActivate.bin]2019年1月17日13:37文件已扫描91.205.215[.]13允许媒体表.bin下载自[[时间]13:8080/O11L9Qub/媒体表.bin]2019年1月17日19:34文件处置已更改恶意的处置方式未知，大数据存储技术，大数据数据采集，已见过1次：OfficeActivate.bin2019年1月17日19:34文件处置已更改恶意的处置方式未知，已见过1次：MediaBini然后将先前标识的IP地址输入Darktrace接口，以确定是否有其他设备访问过它们。幸运的是，我发现他们不是。图像Darktrace中这些IP地址的事件日志如下所示以下：事件日志对于91.205.215[.]13的69.163.33[.]84.Event log。进一步的研究表明，此攻击实际上是一种零日特洛伊木马，在2019年1月17日首次在野外发现，与我们的漏洞发生在同一天。我对这一漏洞的取证进行了审查，同时对用户利用受害虚拟机的活动进行了审查，发现攻击源于该用户点击其电子邮件中的钓鱼链接。我感到相当幸运的是，我有暗黑竞赛，因为没有它，我不确定是否或何时会发现这个特洛伊木马在我们的网络。如果有人在那里谁有关于黑暗种族的问题，请私下给我留言，因为我刚刚成为黑暗种族最大的福音传道者！在facebook上分享tweet在linkedin上分享发送电子邮件

，返利模式