武器化的速度：从漏洞泄露到weekMax Heinemeyer，Threat Hunting总监，海淘返现，星期三，2020年7月8日简介攻击者将漏洞武器化的速度正在稳步提高。虽然技术在迅速发展，网络攻击也变得越来越复杂，但黑客并未忽视利用软件漏洞而不是设计更为详细和冗长的攻击计划的优势。这些漏洞也是进入企业基础设施的快速途径。近年来，攻击者通过快速将面向web的漏洞武器化，获得了巨大的利益和巨大的成功系统。只是最近，Citrix Gateway中的严重漏洞导致大量针对Darktrace客户的活动，正如今年早些时候报告的那样。在Citrix中发现缺陷后，没有立即发布补丁，漏洞很快就被发现了。同样，武汉大数据，在4月下旬，SaltStack开发人员报告了Salt中的漏洞，Salt是一个用于监视和更新云环境中服务器状态和数据的开源框架中心。那个Salt中发现的漏洞允许黑客绕过身份验证和授权控制，并在暴露于互联网。盐主负责向盐奴才发送命令，可以同时管理成千上万的仆从。由于这种结构，一个暴露在外的盐主会导致所有底层的妥协小喽啰5月2日，Darktrace检测到其多个客户成功感染crypto miner，这些客户利用SaltStack服务器管理软件中的CVE-2020-11651和CVE-2020-11652漏洞。在同一个周末，Android移动操作系统linageos和博客平台Ghost都报告说，由于暴露的、未修补的Salt服务器，他们都遭受了加密挖掘攻击。这些攻击中最值得注意的是从一个漏洞被发布到一个大范围攻击的速度之快活动时间线图1： Darktrace在5月3日的技术分析中确定了一系列事件的时间线。最初的妥协marktrace最初检测到一些运行SaltStack的客户服务器正在与以前在网络上看不到的终结点。连接使用curl或wget实用程序下载并执行bash脚本，该脚本将安装包含加密货币的辅助阶段有效负载矿工。那个系统直接利用SaltStack上运行的ZeroMQ协议中的2020-11651和CVE-2020-11652漏洞作为攻击目标。这些漏洞将允许以根用户身份在目标系统上直接执行远程代码，允许下载脚本并在最高系统中成功执行特权downloader脚本与3月份在H2Miner感染中使用的脚本几乎相同，目标是暴露的Docker API和Redis实例。之前下载二级负载后，什么叫云服务，脚本会清除目标系统中预先存在的一些内容感染和矿工，以及一些已知的安全工具和软件。图2： 在初始清理之后的下载程序脚本，该脚本将迭代三个函数，从三个不同的硬编码服务器下载crypto miner负载salt-storerSHA256 837d768875417578c0b1cab4bd0aa38146147799f643bb7bc6c6d3d82d7aa2a。在执行之前，将对下载的可执行文件执行MD5检查。下面的屏幕截图显示了三个下载器函数中的两个调用的图形3： 下载程序的两个函数第二阶段payload在进行加密检查之后，下载的ELF LSB可执行文件开始运行。没有进行有效载荷分析，但是它的执行将导致安装一个加密矿工和一个C2通道已打开.OSINT指示观察到负载的几个新版本具有附加功能，包括数据库转储和高级持久性方法。Darktrace的人工智能检测到的变种包括更先进的"版本5"有效载荷，据称有虫子的能力，但在这个例子中，他们没有被观察到直接。命令控制执行LSB可执行文件时，将建立明文HTTP C2通道，发送有关受感染主机的基本元数据，如处理器体系结构、可用资源以及是否实现根执行。这表明C2机制很可能从其他感染中被重新利用，因为这种特定的感染将作为根执行，从而形成各自的组成部分多余。图4： 一个指挥和控制通道完整的攻击生命周期由Darktrace的网络人工智能分析师调查和报告，自动浮出水面有关指挥与控制通信的关键细节，包括其他被认为具有类似通信模式的服务器，如右下角所示下图5： 网络人工智能分析师自动生成总体安全事件的自然语言摘要图6：关于可疑端点的进一步信息有针对性地，设备开始挖掘加密货币。加密货币挖掘需要很大一部分设备的处理能力，例如CPU和GPU，以便计算哈希值。然而，除了CPU或RAM使用量偶尔增加外，它可能会在数月内不被发现，大数据难吗，因为传统的安全产品通常不会检测到它的行为模式恶意结论失败快速而果断地修补漏洞可能会带来严重后果。然而，有时，攻击前的机会窗口太短，无法进行修补。此示例演示了在初始公开披露之后，未修补的漏洞可以多快地被利用。然而，即使在SaltStack发布更新的两个月后，许多Salt服务器仍然没有被修补，并且有可能成为妥协了。在在Citrix的案例中，一些漏洞导致了勒索软件攻击。Darktrace的人工智能免疫系统技术不仅能检测到这些勒索软件攻击的每一个阶段，而且它的自主响应能够阻止任何异常事件并进一步控制损害。因为新的漏洞本质上是意想不到的，依赖规则和签名的传统安全工具不知道如何查找由此产生的恶意活动。然而，随着对"正常"的不断发展的理解，Darktrace的人工智能检测并调查任何异常行为，那云，而不管其来源或是否看到过攻击之前。密码-采矿业由于其能够产生利润，在许多威胁行为体中仍然受到青睐，成功的感染会严重影响公司网络的机密性和完整性。网络人工智能需要能够检测到新的漏洞和新的威胁，并自动响应以阻止攻击的发生，这对于确保企业在面对网络犯罪分子时保持安全至关重要，这些犯罪分子正在动员起来，以更快的速度利用漏洞永远.IoCs：IoCComment144.217.129[.]111可能C2，uri:/ms/h/s91.215.152[.]69可能是C2，URI:/h89.223.121[.]139有效载荷下载南非sh217.12.210[.]192有效载荷的下载南非sh45.147.201[.]62加密目的地217.12.210[.]245下载有效载荷salt_storerDarktrace模型违规：设备/初始破坏链泄露Compromise/SSL或HTTP BeaconDevice/大量模型违反正常连接/新用户代理到IP（无主机名）异常文件/脚本从罕见的外部泄露/信标活动到外部罕见的连接/多个失败的连接到罕见的目的地Compromise/Sustainable SSL或HTTP IncreaseCompliance/加密货币挖掘活动Max HeinemeyerMax是一名拥有超过九年经验的网络安全专家经验丰富，擅长网络监控和攻防安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件