Darktrace的人工智能如何检测变形的malwareJustin Fier，网络情报与分析主管| 2017年7月31日星期一，Darktrace发现的一些最危险的威胁使用自我修改技术来隐藏其在网络上的存在。这些攻击可以动态改变其威胁特征，自动提取数据，在没有人工控制的情况下传播。最近，我们在美国一所主要大学的网络上发现了异常活动。经过调查，我们发现异常是"烟雾恶意软件装载机"，它使用了许多技术来逃避内部安全。最值得注意的是，恶意软件生成虚假流量来隐藏其存在。当三个异常的可执行文件通过纯文本传输时，Darktrace观察到了最初的感染。该恶意软件与任何已知的威胁特征都不匹配，因此它可以绕过网络的外围控制。9月8日星期四13:19:01Co2eAJ2GifEkWut700，9月8日星期四，12:09:52CdcZeu200UOsuf5u00 9月14日星期三16:38:44这些连接来自一个可疑的外部域，该公司以前从未与之通信：拉各666[.]com（91.243.193.149）从"企业号"和"信标"这两种独特的免疫活动模式中学习到的"企业"的异常行为。虽然有效载荷规避了网络的外围安全，但该公司也有一个备用的安全系统来监控网络流量。此工具在下载发生时发出警报，但被认为是"误报"，免费大数据，因为恶意软件继续将以前未知的新版本的可执行文件安装到Windows注册表中。自修改模块上传到公司设备后，大数据库，针对/smk发送了大量httppost请求/日志.php到以下域：拉各666[.]com拉各666[.]xyzlago666[.]普华永道lago666[.]顶部lago666[.]现场lago666[.]投标[.]网站lago666[.]在线[.]空间lago666[.]网站lago666[空间][.]在线lago666[.]贸易lago666[.]网络摄像头lago666[技术]lago666[.]主机lago666[.]出版社恶意软件试图将数据传输到这些外部目的地，但为了隐藏其踪迹，什么是大数据云计算，远程计算机返回了一个假的404错误代码。这些连接被Darktrace的人工智能算法视为高度异常。由于有效载荷设计为与密码抓取模块2兼容（后者通常与Smoke恶意软件加载程序并排部署），试图离开网络的数据可能包含用户凭据和密码。在初始传输的同时，云信息，另一个异常文件随后被传送到另一个设备。该活动表明，威胁参与者可能试图在网络中横向移动：网址：hxxp://cdn.che[.]教育部/izgmcx.exe（连接UID:CGH6uV3G5tdKSNY800）9月12日星期一08:02:03转到10.1.105.117。随着事态发展，Darktrace实时检测到每一个异常。通过使用人工智能算法不断学习正常行为，Darktrace能够监控恶意软件不断变化的威胁特征。传统的安全工具——无论多么先进——都无法检测到如此复杂的威胁。遗留控制依赖于规则和签名，而这些威胁是专门设计来绕过规则和签名的。Darktrace的实时威胁检测使该大学的安全团队能够在恶意软件深入网络、攻击者使用密码进一步危害网络之前隔离受感染的设备。随后，Darktrace协助安全团队解决了问题，并更改了安全协议贾斯汀密码FierJustin是美国领先的网络情报专家之一，并在Darktrace担任网络情报与分析主管一职。他对网络安全和人工智能的见解已经被华尔街日报、CNN、华盛顿邮报和维克兰等主要媒体广泛报道。贾斯汀拥有超过10年的网络防御经验，曾为美国情报界的各个部门提供支持，在洛克希德马丁公司、诺斯罗普格鲁曼任务系统公司和阿布拉克斯公司担任关键任务安全角色。Justin也是一位技术高超的技术专家，大数据中心，他与Darktrace的全球战略客户合作进行威胁分析、防御网络操作、保护物联网和机器学习。分享在LinkedIn上的FacebookTweetShare发送电子邮件