Mirai恶意软件感染CCTV cameraMax Heinemeyer，Threat Hunting总监|星期二，2020年6月30日执行摘要最近，Darktrace检测到针对CCTV监控中常用的互联网连接摄像头的攻击。此攻击是Mirai恶意软件的一个变种，一个旧的威胁仍然被用来针对物联网设备.IoT连接互联网的摄像头等设备在个人和商业环境中变得越来越普遍。然而，针对物联网的威胁很难被发现，而且常常被忽视，因为这些设备可以轻松地连接到数字基础设施上。这会大大增加商业。攻击者知道物联网设备的安全性经常严重缺乏，并继续针对这些易受攻击的设备设备。自从传统的防病毒方法和其他传统安全方法在物联网设备上无能为力，Darktrace的网络人工智能平台填补了在保护这些基本要素方面的空白电器.介绍5月底，Darktrace检测到Mirai恶意软件感染了加拿大一家物流公司拥有的面向互联网的DVR摄像机。Mirai于2016年首次被发现，它不断扫描互联网，寻找物联网（IoT）中易受攻击设备的IP地址，然后将这些设备转化为机器人程序，可作为大规模网络僵尸网络的一部分攻击。由利用对网络正常情况的定制、不断发展的理解，暗黑种族抓住了这次攻击生命周期的每个阶段。然而，由于这家公司仍在进行为期30天的价值证明，安提吉纳没有处于活动模式，攻击继续超过最初的妥协点。如果安提吉纳处于主动模式，攻击就不会超过初始阶段妥协。时间线图1： 这个时间线大致概括了三天内的主要攻击阶段技术分析在最初的漏洞发生时，这个特定的僵尸网络的基础设施尚不为开源情报（OSINT）所知。但是，Darktrace检测到从以前未访问过的位置下载了EXE网络。之后第一次异常的EXE下载，另一次大约20分钟后被下载。恶意软件随后会攻击多个IP地址，这些地址在统计上对网络来说是罕见的。具体来说，被破坏的设备开始将大量数据传输到中国。数字2： Darktrace detectionsDarktrace通过在协议不可知的能力中利用机器学习算法，在不断发展的理解的背景下分析了单个设备的传输对于这个设备和更广泛的组织来说都是正常的。因此，它能够立即将所有这些转移标记为不寻常的。这个Darktrace的网络人工智能分析师对此进行了全面调查和报告。人工智能分析师的报告样本如下所示。可疑的文件下载、不寻常的重复连接和异常的外部数据传输都是意外事件，需要进一步调查。可疑下载的目标IP被确定为相对于组织。图3： Darktrace的网络人工智能分析师会自动对攻击进行分类。此外，文件的哈希值在上图中的红色框中突出显示，透露这是一个与Mirai僵尸网络有关的知名文件。然而，由于没有防病毒或其他安全措施来保护物联网摄像头，这一点并未被发现。对受感染设备的一次点击分析显示了发生的模型漏洞的时间表，并绘制了活动图，以便报告的读者快速了解攻击的后续阶段。在这里，我们看到了攻击生命周期的第二和第三阶段，在这种情况下，它开始针对其他设备进行DDoS攻击，以完成其任务，同时继续与稀有目的地的传出连接，以维持其存在。图4： 设备事件日志显示了5月23日的模型违反列表结论有趣的是，客户没有看到任何迹象表明这一活动除了迟缓网络。这种网络活动的变化只有在被Darktrace确认后才得以解释。一旦客户被及时通知，妥协被取消规模，并发现这是一个DVR安全摄像头，客户采取了设备离线。作为此客户仍在结束其试用部署，Antigena未处于完全自主模式。但是，如果是这样的话，Antigena会采取两层措施来阻止设备与恶意端点通信，在攻击之前切断受损的连接立足点。学习关于黑暗蚂蚁的更多信息igenaIoCs:IoCComment37.49.226[.]246摄像头看到从稀有目标下载软件117.27.239[.]28摄像头看到向新外部设备发送数据37.49.226[.]246，43.227.220[.]153，43.248.188[.]28在一个小时内检测到多个型号的摄像头216.146.43[.]70，216.146.43[.]71与dyndns[.]orgDarktrace模型相关的指挥和控制基础设施连接的摄像机违规：异常连接/异常1GiB外部异常活动/异常外部活动异常活动/增强异常外部数据传输异常活动/异常外部数据到新IPsDevice/初始漏洞链损坏异常服务器活动/从服务器传出异常连接/发送到新外部设备的数据异常连接/到新外部UDP端口的多个连接正常连接/从稀有外部位置发送到罕见域异常文件/EXE异常文件/面向Internet的系统文件下载maxHeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件