本月初，Darktrace的网络人工智能检测到Ursnif银行特洛伊木马程序（被称为5月份最受通缉的恶意软件）在其客户网络中重新抬头。本博客关注美国一家金融服务公司的恶意活动，详细介绍了Darktrace Antigena是如何以及为什么会主动介入并真正阻止了攻击时间。银行业特洛伊木马继续对全球各种规模的组织构成可信和持久的威胁。此攻击是通过网络钓鱼电子邮件进行的，该电子邮件启动了伪装为.cab的可执行文件的下载分机。这个特定的银行木马程序特别复杂，在注册了多个新的指挥与控制（C2）域的情况下，由于在不同的网络中观察到了几种不同的域生成算法（DGA），因此可以识别这些域，其中大多数域仅在运动。图1： 攻击性网络钓鱼电子邮件的时间表可以让组织不受恶意软件的攻击它本身是通过网络钓鱼邮件发送的。该攻击在交付时未被防病毒解决方案识别，从组织的外围解决方案中溜走，并进入员工的收件箱。不知不觉中，一名员工打开了一个包含宏的伪装附件，下载了一个伪装成.cab的可执行文件延伸。有趣的是，该恶意软件还使用新的用户代理来模仿Zoom和Webex，这显然是为了混入假定的网络流量。在恶意软件被下载后，观察到一些设备正在使用这些Zoom或Webex用户代理与非Zoom和非Webex域建立连接，这是另一种混合尝试英寸数字2： Darktrace的breaktrace事件日志显示很多型号都被触发了图3:Darktrace的设备事件日志显示设备已连接到Outlook在下载后下载可执行文件时，Darktrace的人工智能观察到了罕见的DGA域的信标。这些域名大部分是俄罗斯的，在之前的24个域名中注册小时。数字4： 截图取自观察到的一个C2域，Tobmojiol2aff[.]com，它似乎是一个登录页面，图5：观察到的一个C2域的外部站点摘要tobmojiol2aff[.]com，这被认为是100%罕见的网络在当时的模式突破。这个由于观察到的域是最近注册的，并且大多数文件哈希和ioc还没有被OSINT工具标记，因此攻击成功地避开了组织的其余安全堆栈，从而绕过了所有基于签名的检测。最初的文件下载也声称是.cab文件，但Darktrace的人工智能发现这些文件实际上是可执行的文件。多个暗道检测，包括"伪装文件传输"模型和"初始泄露链泄露"模型，提醒安全团队注意这一活动。同时，这些模型触发了Darktrace的网络人工智能分析师对安全事件展开自动调查，它提供了额外的重要信息，大大缩短了分诊。图6： Cyber AI Analyst输出显示可执行文件下载后设备进行的后续C2连接图7：受影响设备的模型破坏，显示恶意文件下载和随后的命令和控制引导活动图8：模型破坏事件日志，显示伪装文件下载后Antigena的响应和新的出站连接Ursnif银行特洛伊木马程序具有特别致命的威胁：无声、隐蔽，并且能够以机器速度窃取重要的财务信息、电子邮件凭证和其他敏感数据。像这样的高级恶意软件的兴起表明了对安全技术的需求，这种技术可以领先于攻击者。对于这个组织来说，恶意软件下载和随后的命令和控制活动可能代表了一个代价高昂的开始攻击。幸运的是该组织在活动模式下安装了Antigena网络。来自受感染设备的C2通信在初始连接数秒后被阻止，从而阻止了进一步的C2活动和任何其他恶意软件的下载。利用网络人工智能分析师提供的信息，安全团队可以迎头赶上，威胁很快就会出现包含。这个攻击突出了恶意行为体用来逃避检测的不断发展的方法。在上述事件发生的同一周内，Darktrace在美国和意大利多个行业的众多其他客户中发现了Urnsnif恶意软件。攻击者不分青红皂白地瞄准企业，而且没有放慢脚步下来。谢谢感谢Darktrace分析师格雷斯·卡巴罗和渡边博美对上述威胁的见解找到。到了解网络犯罪分子如何利用人工智能来增强他们的攻击，请下载白皮书：算法技术之战tailsIoCs:ioccommenttomojiol2adf[.]comC2域，注册于7月9日QUMOGTROMB2A[.]COM尚未注册Damehota2GFGH[.]comC2域，注册于7月8日GOFAST22GF用于[.]comC2域，下载CommSource[[CommQueryJD.]CommQuery7D.[CommQuer2July.]下载[CommQueryAsq2d.]文件[CommQueryJD.]未下载网址：hxxp://9ygw2[.]com/iz5公司/yaca.php？l=kpt1.CAB文件路径xxp://e9bja[.]com/iz5公司/yaca.php？l=kpt4.cab文件路径xxp://n2f79[.]com/iz5公司/yaca.php？l=kpt1.CAB文件路径xxp://ioyyf[.]com/iz5公司/yaca.php？l=kpt4.cab文件路径xxp://hq3ll[.]com/iz5公司/yaca.php？l=kpt12.cabFile路径md5本次调查结果表明，该二次流经该次处理后，该二次流的第二次流经该次流经该次流化处理后的第二次流经该次流化后的第二次流经该次流化处理后的第二次流经该次流的第二次流经该次流的第二次流经该次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流的第二次流C495990E678F83E7C4207591C6D07CE1C611A8BC4B618988EEC0A8518E87D7248D2882C6F05A55194915A540CE01FABEC9BA1E7913837EA94E6D6C3CEF950ED75B82428475681C7BAC046599A0780C8078A966D11F7089DDC17489E558D0F07B16636BC0DBEDFF18317ACADC408F76D3B33EA4304CEE72B840F4E79ED5FFDE7ADC680A7CDSHA1结果表明，该方法能有效地解决该问题。该方法能有效地解决该问题。该方法能有效地解决该问题。该方法能有效地解决该问题。该方法应用于该企业的一次开发中。该企业在该企业的应用中，该企业以该企业为该企业提供了该企业的第二次开发该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业该企业的该企业该企业的该企业该企业该企业该企业该企业的该企业该企业的该企业该企业的该企业该企业的该企业该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业的该企业该企业该企业的该企业该企业该企业该企业该企业该企业该ED255C94F4F65ACF3A35DA9B8DA460CF7910CD883FE2E4660AEE8045E0EB357B88DB19该方法采用了一种新的方法，一种新型的方法，一种新型的二种方法，一种方法是一种新的方法，一种方法是用一种新的方法，一种方法用一种新的方法，一种方法用一种新的方法，一种方法用一种新的方法，一种方法用一种新的方法，一种方法用一种新的方法，一种新的方法，一种方法用一种新的方法，一种方法用一种新的方法，一种方法用一种新的方法，一种方法一种方法，一种方法用一种新的方法，一种方法，一种方法，一种方法，一种方法，一种方法，一种方法一种方法，一种方法，一种方法一种方法，一种方法，一种方法，一种方法，一种方法80C4CB04443B7D2E2A0B331EDE8915E42D27372820A20E8BB9A448B39C5暗道模型破坏异常文件/伪装文件传输泄露/持续的TCP信标活动到罕见的端点妥协/HTTP信标到罕见的目的地复杂/缓慢的信标活动到外部稀有设备/初始破坏链危害Max HeinemeyerMax是一位网络安全专家九年以上现场工作经验，擅长网络监控和攻防安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件