在BadRabbit HoleMax Heinemeyer，Threat Hunting的主管，2017年10月25日星期三这篇博客文章描述了目前流行的勒索软件BadRabbit以及Darktrace的机器学习技术如何检测到它。BadRabbit是一种利用SMB横向传播的自传播恶意软件。这场战役让人想起了今年早些时候发生的万纳克里和诺彼亚袭击事件。BadRabbit的一些功能以及它如何感染目标的操作方式与NotPetya攻击相似。这次袭击最初于2017年10月24日袭击了俄罗斯和乌克兰的公司。从那时起，勒索软件也蔓延到世界其他国家。感染过程最初的感染媒介似乎是通过驾车下载和使用伪造的adobeflash播放器文件进行社会工程。俄罗斯和乌克兰的各种新闻和媒体网站（主要是但不限于俄罗斯和乌克兰）会弹出提示，要求他们下载adobeflashplayer软件更新。目前还不清楚这些网站是否受到了破坏，或者广告网络是否被用来显示虚假的adobeflash下载。这种向用户提供虚假更新（通常是adobeflash）的技术，包括勒索软件、广告软件或其他形式的恶意软件，在过去六个月里得到了广泛的应用。同样的方法经常被用来欺骗用户做出不明智的行为，例如在浏览电视流媒体网站或torrent网站时下载恶意软件。下载后，用户必须使用管理凭据手动执行假的adobeflashplayer。不会使用漏洞攻击来自动执行恶意软件。恶意软件在执行时为另一个文件创建一个计划任务。勒索软件然后使用rsa2048密钥，使用硬编码的文件扩展名列表对受损设备上的文件进行加密。罪犯要求比特币支付解密文件的费用。用户被指向一个.洋葱网站，该网站必须通过Tor访问，以支付赎金。BadRabbit可以使用一个硬编码的公共凭证列表，通过SMB强行将其传输到网络上的其他设备。该恶意软件似乎包含一个精简版的Mimikatz工具，用于收集Windows计算机上的凭据。中小企业可能会利用其横向移动能力来进一步增强这种能力。最新消息（2017年10月30日）：随着上周末对"恶兔"能力的调查继续进行，有关"恶兔"传播方式的新细节被揭开。BadRabbit似乎正在使用针对微软2017年3月修补的CVE-2017-0145的EternalRoman漏洞，通过SMB在内部网络中传播。由于Darktrace的人工智能不依赖于识别单个漏洞来检测漏洞，这一最新发现并不影响Darktrace识别BadRabbit感染的能力。所有先前确定的检测能力仍然有效。黑暗种族立刻发现了恶兔Darktrace在不使用任何特征码的情况下具有强大的检测能力。事实上，我们在最初虚假的flashplayer下载到他们各自的网络上的几秒钟内就通知了我们的一些客户，而且早在宣传活动的范围被公开之前。从1dnscontrol[.]com下载的初始伪造Adobe Flash Player立即被检测为可疑下载：如果BadRabbit的早期迹象没有被检测到，受感染的设备就会开始强行使用SMB访问网络上的其他设备，这会导致每次尝试通过端口445进行数千次SMB会话登录尝试。这种高度反常的行为标志着与客户"正常的"生活模式的严重背离，使得"恶兔"很容易被Darktrace的机器学习技术检测出来。在几秒钟内，Darktrace就向受影响的组织发出警报，将其标记为"SMB会话暴力"。下面显示了使用SMB会话暴力从受感染设备到另一个客户端设备的正在进行的横向移动尝试。受感染的设备通过445端口和139端口尝试连接到internet上一个或两个随机生成的IP地址。下面显示了这些失败的连接尝试的示例。Darktrace立即意识到这是受感染设备的异常行为：被破坏的设备将试图在网络上横向移动，以搜索其他设备来感染。Darktrace的人工智能算法可以迅速识别出这种异常行为，实时提醒受影响的组织这些"不寻常的内部连接"，以及潜在的"网络扫描"。下面在黑暗种族中看到的模型漏洞预计是在一个巴德兔感染。请注意，并不是下面列出的所有模型都会在每次感染中被破坏-这取决于Darktrace观察到的实际行为。来自罕见外部目标的异常文件/EXE设备/SMB会话暴力异常活动/异常内部连接设备/网络扫描异常活动/持续异常活动异常连接/可疑读/写比率合规/Tor使用Darktrace的"Omnisearch"和"Advanced Search"功能可用于识别与已知网络的任何连接的危害指标：1dnscontrol[.]com（托管假的Adobe Flash player文件）185.149.120[.]3（观察到静态IP，受害者向IP发送HTTP）结论BadRabbit是一种机器速度勒索软件攻击，展示了今年早些时候观察到的WannaCry和NotPetya漏洞的一些功能和感染机制。BadRabbit恶意软件将自己伪装成"adobeflash"软件更新，诱使毫无戒心的用户发起下载。在最初的撞击之后，攻击可以在没有人为干预的情况下从一台机器传播到另一台机器。Darktrace的人工智能算法能够快速检测出BadRabbit在网络上触发的高度异常的行为模式，并实时提醒安全团队。我们已经看到，巴德兔在全球绕过传统的安全控制，再次证明试图用规则和签名识别和阻止威胁是徒劳的。由于Darktrace的机器学习技术不依赖于对"坏"是什么样子的任何假设，并不是通过它们是什么而是通过它们的行为来检测正在展开的攻击，它是非常强大的捕捉和阻止勒索软件攻击，如巴德兔在现实中时间。最多HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件