让红队挥舞白旗与暗黑艾米夏尔绿色，首席安全分析师赛博赛博（嘉宾投稿人）|星期一6月3日，2019年6月3日以下嘉宾撰写的博客文章探讨了赛博视是如何通过暗黑种族的企业免疫检测到高度先进的红队活动的系统。AtCyberseer，一家托管安全提供商，我们的分析师知道，红淘客，挫败复杂的网络犯罪分子需要对任何可能发生的事情做好准备。今天的红队攻击很容易在明天被不那么友善的人复制，这就是为什么我们对待这些演习的严肃性我们会是真正的威胁，使用世界上最先进的人工智能网络防御系统，企业管理应用，如暗黑种族，教育大数据，让坏人无处可逃躲起来。最近，我们的一个客户参与了一个红队评估，部分是为了了解他们的安全团队将如何反应和控制攻击，部分是为了确定不同攻击技术在他们的安全堆栈中的可见性。在交战期间，红队利用了一些秘密的"离地生活"（LotL）技术。LotL是指恶意使用系统上的合法工具（如PowerShell脚本、WMI或PsExec）来执行攻击。值得注意的是，这些技术不仅仅局限于红队队员：威胁参与者正在对受损系统使用此类工具，一个值得注意的例子就是2017年的Petya/NotPetya攻击。这里这是Cyberseer的分析师如何在事先不了解他们的技术的情况下，利用暗黑竞赛来检测红队的一个例子，实际上时间：调用-猎犬由专业的渗透测试人员andyrobbins创建，它是一个开源工具，它使用图论来理解活动目录（AD）环境中的关系。除了确定组成员信息外，还可以通过列举给定用户拥有管理权限的所有计算机来快速深入了解广告。在合适的情况下，安全小组可以使用猎犬来识别并限制攻击媒介。如果落入坏人之手，攻击者很容易利用这些相同的途径未处理。收件人收集数据时，血猎犬由一个名为Sharphound的数据摄取器补充，它可以作为PowerShell脚本或可执行文件提供。Sharphound使用本机Windows api从目标主机查询和检索信息。例如，要枚举本地管理员用户，它调用"NetLocalGroupGetMember"API与远程上的安全帐户管理器（SAM）数据库文件进行交互主人。这些工具通常会产生许多我们期望从网络中的主机设备看到的工件交通量：增加到LDAP（389）和SMB（445）端口的连接增加到IPC$的连接共享增加到以下命名管道的分布式计算环境/远程过程调用（DCE峎RPC）连接：\PIPE\wkssvc-Query logged in users\PIPE\srvsvc-Query system information\PIPE\svcctl-Query services with stored credentials\PIPE\atsvc-Query scheduled tasks\PIPE\samr-枚举域和用户information\PIPE\lsass-提取与红队交战相关的凭证信息，在执行猎犬工具后，攻击设备开始接触大量内部设备，导致内部co激增连接：图1：Darktrace可视化内部连接的增加，每一个点都代表一个由猎犬触发的模型漏洞活动。在事实上，大量的异常连接触发了许多暗黑种族的行为模型，云服务器商，其中：异常连接/SMB枚举异常连接/新服务控制设备/网络故障设备/扩展的网络扫描异常活动/来自多个度量的异常活动异常活动/持续可疑活动异常活动/持续异常活动深入这些连接，数据建模，可以标识详细说明的\PIPE\connections上图：图2：查看Darktrace的Advanced中的原始连接日志找。找从上到下，我们可以看到139和445端口上的设备扫描、远程IPC$共享的访问、srvsvc的SMB读/写、samr管道和lsass绑定。虽然这些协议在典型的网络中有合法的应用，但是在短时间内启动这么多协议的设备需要更进一步黑暗种族调查人工智能不仅照亮了这些活动，它还自动确定它们具有潜在的威胁，尽管在大多数情况下都是良性的。基于对客户正常"生活模式"不断发展的理解，Darktrace将许多异常行为的微弱指标关联起来，将活动标记为内部的重大风险秒。调用-PasswordSpray"PasswordSpray"是一种针对具有少数常用密码的大量帐户的攻击。例如，在本例中，红队试图强行强行访问文件共享。尽管这种策略看起来很简单，但NCSC最近的一项研究发现，75%的组织拥有的账户密码在前1000个密码中，而87%的组织的账户密码在前10000个密码中。与之前的猎犬攻击类似，密码喷洒攻击从端口445上的SMB连接增加开始。Darktrace甚至对这个相对较少的连接数也有所警觉，因为这对于我们的客户来说是不正常的网络：图3：对来自攻击者的文件共享的SMB会话失败的数量设备。每个这些连接中使用了用户凭据和随机密码。从下面的日志可以看到所有的SMB会话失败：图4：设备事件日志，显示每个未成功身份验证的重复SMB会话失败尝试。甚至由于只看到了50次尝试，Darktrace很快在SMB枚举和暴力行为时发出警报行为。两者都有在这些场景中人工智能技术的优势。Darktrace没有关注这些工具的哈希或字符串匹配，而是能够快速识别与它们的使用相关的异常行为模式。这种细微差别在这种情况下尤其重要，因为在许多情况下，所有这些活动都不是恶意的。通过区分微妙的威胁和无害的交通，暗黑种族帮助我们击败红队和真正的罪犯一样。分享在LinkedIn上的FacebookTweetShare发送电子邮件