最好的招牌动作：在allMax Heinemeyer，威胁狩猎部主管，没有任何签名的情况下检测勒索软件。2019年11月18日星期一，在Darktrace的全球客户群中，勒索软件正在迅速增加。不像我们过去讨论过的滥杀勒索软件蠕虫，比如WannaCry和BadRabbit，今天的攻击趋势是有选择性的"大型狩猎"。我上个月在博客中提到的Ryuk勒索软件事件表明，犯罪分子现在是如何利用其战略的特殊弱点目标。尽管如此然而，随着这些攻击的日益复杂，检测它们最终只是一个分类问题-尽管是一个非常复杂和重要的问题。要理解是什么使这个问题变得困难，考虑三种识别勒索软件的方法。第一种也是最常见的方法是将新活动与已知恶意软件毒株的数字"签名"交叉引用，捕捉安全社区已经编目的攻击。当然，这些固定的特征码对主导现代威胁的新型恶意软件变种是视而不见的风景。那个第二个层次使用有监督的机器学习，这需要训练人工智能的许多勒索软件攻击的历史例子，试图找到它们的共同点。虽然理论上，这种方法可以检测出与训练数据不完全相同的勒索软件，但监督学习方法本质上只是类固醇上的签名，无法标记出与之前所见根本不同的恶意行为。相反，彻底解决勒索软件流行病需要无监督的机器学习。通过了解每一个特定的员工和设备在"工作"时的工作原理-没有任何签名或培训数据-网络人工智能就是这样做的那个。安勒索战中的教育当一家世界领先的教育机构在去年10月受到达摩勒索软件家族的攻击时，暗黑种族网络人工智能立即向利用这个学会的知识攻击机构本身-而不是签名。以下时间表详细说明了事件：图1：概述攻击。进来总结一下，威胁行为人通过利用一个没有针对这种RDP暴力强制的保护的服务器强行进入了机构的网络，从而损害了管理员的凭据。然后他们继续扫描网络，直到找到一个开放端口445，然后使用允许远程管理的PsExec工具横向移动。最初受损的服务器复制了勒索软件，名为"系统.exe，以通过SMB协议隐藏其他计算机上的SMB共享。最后，勒索软件开始加密所有这些数据设备。网络人工智能追踪了上述攻击的每一步，并将其与该机构正常的在线行为进行对比。下图显示了整个过程中受感染服务器的活动事件。图2： 每一个彩色圆点都代表一个高置信度的暗色警报，表示明显异常活动。超越然而，只要探测到攻击，Darktrace的人工智能自动响应工具Antigena就会采取有针对性的行动来中和它几秒钟之内。当受到像勒索软件这样的机器速度威胁时，人类安全小组需要这样的人工智能工具来控制损害，就像安提吉纳那样完成：候补有自主反应的现实如果受到自主反应的攻击，情况会完全不同。首先，Antigena会阻止威胁参与者通过RDP重复登录的尝试，因为这些尝试来自以前从未与组织通信的外部IP地址。Antigena的工作原理是为每个受影响的用户和设备强制执行正常的"生活模式"，这意味着它不会阻止与RDP服务器定期通信的IP地址。这样可以确保日常操作所需的活动在严重的情况下也不会中断威胁。数字3： 在尝试暴力的多个不寻常IP地址中的一个上发出暗色警报-强迫。通过在这一点上，威胁已经被封锁的蛮力压制。但是如果攻击者仍然设法扫描网络中的开放式SMB服务，Antigena会再次介入，以手术方式限制这种行为，因为Darktrace认识到受感染的服务器几乎从未扫描过内部网络。图4： 暗黑种族警告异常扫描行为，哪一个安提吉纳会自主已阻止。正在继续不过，在假设的情况下，服务器现在使用PsExec横向移动到其他设备——Darktrace立即将这些活动标识为异常。Antigena会在此时升级响应，停止服务器的所有出站连接数小时。最终，自主反应将完全消除这一威胁，正如它已成功地在数百万个场合所证明的那样已经开始了。发现了不可预测的是，威胁行为体设计出新颖的勒索软件并进入新的指挥和控制领域，这是前所未有的容易。因此，使用固定签名、IP黑名单和预定义的假设是不够的，因为没有任何安全工具可以预测下一次根本不可预测的攻击。只有网络人工智能——它能了解每一个独特的用户和它所保护的设备的正常情况——才配备了这样一种设备挑战。共当然，光靠探测是不行的。现代勒索软件越来越自动化；在这种特殊情况下，整个事件用了不到两个小时，从最初的暴力逼供到最后的加密。尽管Darktrace实时警告威胁，但安全团队忙于其他任务，导致妥协。在这一点上，自主响应在每个行业都变得至关重要——即使安全团队无法做到，它也会全天24小时值守是。到进一步了解Autonomy Response如何在不依赖签名的情况下中和勒索软件，看看我们的白皮书：黑暗种族安提吉纳：人工智能驱动的自治的未来响应最大值HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件