加快对广泛存在的特洛伊木马病毒感染的调查，DarktraceMax Heinemeyer，Threat Hunting的主管，2017年12月8日星期五这篇博客文章概述了Darktrace如何通过大幅度减少调查事件所需的时间来帮助安全运营中心（SOC）团队提高效率。在最近的价值证明中遇到的一个例子说明了这一点，其中超过350个客户端设备被一个隐形银行特洛伊木马感染。识别和调查这种规模的妥协通常需要几个小时，如果不是几天，使用不同的传统安全工具。运用黑暗竞赛，最重要的问题在90分钟内得到回答。其主要原因是Darktrace为在一个统一的平台上监视的所有设备提供网络活动的全面可见性和上下文。警惕疲劳与网络安全技能差距获得网络安全是困难和耗时的。复杂性是网络安全界面临的主要挑战之一。如今，网络只被模糊地定义为数字供应链、外包、向云端推进以及Docker这样的微虚拟化的出现。存储的数据量、连接到内部网络的设备、设备建立的连接以及其中的异构性增加了这种复杂性。管理它充其量是困难的，而用传统工具保护它可能是一项艰巨的任务。我们的行业正与所谓的"网络安全技能差距"作斗争。对有技能、有经验的安全从业人员的需求一直供不应求。面对快速变化的威胁环境，SOC团队很难找到合适的人选，服务器云平台，并保持分析师的积极性。警觉疲劳和精疲力竭是SOC分析师长时间工作和夜班工作的常见症状。调查方法任何事件响应者都会首先询问一些与所调查事件有关的高级问题，无论是广告软件感染、银行木马、勒索软件、主动入侵或任何其他形式的网络安全事件。最重要的问题通常是：感染是怎么发生的？（以防止将来相同的初始感染媒介）受感染的设备表现出什么样的行为？（了解感染的威胁和风险）有哪些妥协指标？（更新其他安全工具并用于进一步调查）其他设备也被感染了吗？（评估感染程度）我们最近与EMEA的一家IT服务提供商进行了价值证明。Darktrace进入了一个已经屈服于广泛妥协的环境中——超过350台客户端设备已经感染了银行木马。让我们来看看我们是如何用暗黑种族来识别、分类和调查这种感染的。确定事件暗色种族在最初的感染已经发生后进入了环境。Darktrace立即识别出了几个设备，这些设备显示出异常、罕见的外部IP地址的意外HTTP信标。这些设备发出httppost请求时，没有事先请求GET以及其他可疑行为。Darktrace为此创建了几个高严重性警报，例如"向虚线四线组泄露/可疑HTTP信标"和"泄露/可能的恶意软件HTTP通信"：图1：暗色警报示例。对事件进行审讯然后，Darktrace会提供有关此警报的上下文-例如，进行信标的外部IP、包括相关用户在内的内部设备以及可疑行为：图2：检测上下文和C2 IP。对外部IP的快速调查显示，这是最近发现的Dridex banking特洛伊木马程序的命令和控制（C2）IP地址。深入研究，Darktrace为每个连接提供pcap。上述C2连接的PCAP确认此事件为活动的、成功的、编码的恶意C2 IP信标：图3:PCAP和编码的HTTP帖子。调查事件在这一阶段，我们希望进一步检查受感染设备在事件发生前后的行为。Darktrace提供了对过去活动的全面了解，包括任何设备建立的所有网络连接-无论事件是否发生在设备上。我们会处理事件发生前后受感染设备建立的所有外部连接，并立即识别出更多可疑的C2通信：图4：更多的设备行为；更多的C2 IP。到目前为止，我们已经确定了6个不同的c2ip地址。我们可以使用Darktrace的"外部站点摘要"来查看最近连接到特定IP或域的所有设备。对初始C2 IP执行此操作将得到以下结果（节选）：图5：外部部位汇总；进一步感染。我们立即识别出另外5个成功连接到c2ip地址的设备。事实上，上面的列表被简化了，因为我们实际上看到了350多个设备连接到这个和其他c2ip地址。值得注意的是，所有观察到的设备似乎都有相似的命名结构，这在下一部分的分析中将变得非常重要。在这一点上，我们已经回答了除了第一个问题："感染是怎么发生的？"？’Darktrace在最初的感染发生和传播后开始监控网络。对C2 IP地址的进一步研究表明，这些地址与Emotet特洛伊木马程序有关。这种复杂的恶意软件通常先于银行木马（如Dridex）感染，并通过网络钓鱼传播。因此，我们可以假设网络钓鱼很可能是最初的感染媒介。那么，感染是如何传播到这么多设备的呢？当然不是所有用户都点击了可疑的网络钓鱼邮件吗？Emotet的最新版本的侧向移动能力有限。它们主要通过SMB暴力强制尝试管理帐户和硬编码密码列表进行传播。受感染设备上的命名约定非常相似-这可能表示设备的构建过程和设置类似。如果其中一台设备上存在漏洞（例如具有弱密码的管理帐户），则该漏洞可能存在于具有类似版本的所有设备中。通过使用Darktrace，安全团队现在对感染的性质和规模、可用于更新防火墙和其他预防性安全控制以及未完成的补救活动有了坚实的了解。如果使用传统工具，而不是使用Darktrace，这项调查会是什么样子？首先要发现这些秘密的银行木马，更不用说对它们进行全面的测试，这本身就是一项艰巨的挑战。目前的银行木马病毒，如Dridex，Fedeo或Vawtrak不断更新恶意软件的C2地址，以避免黑名单。最初的检测可能是在攻击生命周期的任何阶段，但很可能是在攻击的后期阶段，那时已经造成了相当大的损害。分析员必须登录到各种安全设备，以接近Darktrace中提供的相同级别的可见性—web代理日志、防病毒日志、在受感染主机上运行pcap、SIEM日志。必须在所有这些完全不同的安全工具之间切换是不节省时间的，并且会产生实际发生的情况的一个片段。结论一个有效的假设是，一个设备最初是通过网络钓鱼被感染的，云服务器租用，这使得Emotet通过SMB暴力强制传播到超过350个内部设备。从对事件的初步检测到这一结论，不到90分钟就得出了这一结论，这是一份可采取行动的报告的基础。SOC最不需要的是另一个产生大量警报的工具。利用Darktrace的机器学习和无与伦比的网络可视性，您可以专注于一小部分相关警报，并根据其严重程度和优先级快速调查这些事件。即使你引入第三方事故响应团队，Darktrace也可以降低成本。你将能够显著加快他们正在进行的调查，如果他们可以进入黑暗种族。第三方事故响应小组费用昂贵，大数据的应用，每天的费用在2000英镑到3000英镑之间。把他们的工作从几天减少到几小时将导致成本和努力已保存。MaxHeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，人工智能可以做什么，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，云淘，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件