照亮Shamoon 3:cyber AI揭露的数据清除恶意软件malwareMax Heinemeyer，Threat Hunting的主管|星期三2009年7月10日对2012年以来"史上最具破坏性的网络攻击"负责，Shamoon恶意软件会擦除受损硬盘并覆盖关键系统进程，意图使受感染的机器无法使用。在一家全球公司的网络试用期间，Darktrace在2018年12月10日观察到了一次Shamonon支持的网络攻击，当时有几家中东公司受到了恶意软件。而有关于恶意软件文件和雨刮器模块的详细报告，这些最新的Shamoon攻击使用，完整有关的网络杀戮链仍不清楚，而去年12月导致该恶意软件最终"爆炸"的入侵事件却没有得到如此多的报道。因此，这篇博客文章将聚焦于Darktrace的网络人工智能所产生的关于（a）"爆炸"期间受感染设备的活动和（b）最有可能代表前几周内横向运动活动的妥协指标的见解。12月爆炸前的主要事件的高层概述10th.英寸接下来，我们将按照时间倒序深入研究这个时间轴，追溯攻击的起源。我们从零开始吧12月1日10： 42台设备"引爆"了Darktrace如何在2018年12月识别警报的鸟瞰图。让分析师眼前一亮的是，12月10日，大量警报（如上图红色矩形所示）在12月10日发生，随后整个网络完全沉默后四天。这些突出显示的警报表示Darktrace检测到远程端口445上的异常网络扫描，这些扫描由42个受感染的设备执行。这些设备开始扫描更多的机器，其中没有一台已经被感染。这种行为表明，被破坏的设备开始扫描，并相互独立地进行擦除，而不是在恶意软件引爆期间进行蠕虫式的活动。初始扫描设备在UTC下午12:56开始扫描，而最后一个扫描设备在下午2:07开始扫描。UTC。不是只有从上面所示的鸟瞰图来看，这种活动才很明显，引爆装置在几天的时间内也产生了最高优先级的暗色警报："设备/网络扫描"和"设备/扩展网络扫描"：此外，在调查"设备-总分"时，"引爆装置被列为12月8日至11日期间最关键的资产：Darktrace AI产生了上述所有警报，因为它们代表了AI从公司网络上了解到的每个用户和设备的正常‘生活模式’的重大异常。至关重要的是，这些警报都不是预定义的"规则和签名"的产物，传统安全工具依赖于这种机制来检测网络威胁。相反，人工智能揭示了这些活动，因为鉴于这些设备精确的性质和时间，扫描结果对于这些设备来说是不寻常的，这表明了在捕捉像shamon这样难以捉摸的威胁时，这种微妙的方法是必要的。更重要的是，该公司的网络由大约15000台设备组成，这意味着，如果没有能力区分最严重威胁的优先级，基于规则的方法可能会淹没Shamoon警报噪音。现在我们看到了网络人工智能在爆炸过程中是如何发出警报的，让我们调查一下促成12月10日事件的各种可疑的横向运动的指标。大部分的这种活动都是在短暂的爆发中发生的，如果暗黑种族的关系密切的话，每一次都可以被发现并加以补救监控。11月19： 异常的远程Powershell使用（WinRM）11月19日，Darktrace检测到14个设备（桌面和服务器都一样）都成功使用了WinRM协议。这些设备以前都没有使用过WinRM，这对于整个组织的环境来说也是不寻常的。相反，远程PowerShell在横向移动的入侵中经常被滥用。所涉及的设备没有被归类为传统的管理设备，这使得它们更多地使用WinRM可疑。注意上的时间戳指示的WinRM活动的群集左。十月29–31：扫描，异常的PsExec和RDP暴力，10月29日至31日期间，可能发生了其他横向移动的突发事件，当两台服务器以不寻常的方式使用PsExec时。在这些检测之前或之后，没有在网络中观察到PsExec活动，这促使Darktrace标记该行为。其中一台服务器在横向移动前不久进行了ICMP Ping扫描。这两台服务器不仅在同一天开始使用PsExec，而且还使用SMBv1，这对于网络。Most如今涉及PsExec的合法管理活动使用SMBv2。下图显示了一台相关服务器上的几个暗色警报-请注意图底部的检测时间顺序。这显然像一个攻击者的日记：ICMP扫描、SMBv1使用情况和异常的PsExec使用情况，然后是新的远程服务控件。在分析的时间段内，这台服务器是排名最高的五大设备之一，并且很容易识别。跟随在PsExec的使用中，服务器还通过SMB上的srvsvc和svcctl管道启动了异常数量的远程服务。他们通过在通常不与之通信的远程设备上启动服务来做到这一点，当然是使用SMBv1。由于访问冲突和访问权限错误，某些尝试的通信失败。两者都经常出现在恶意的侧面移动。附加SMBv1和远程srvsvc管道活动的上下文。注意通道失败。谢谢对于Darktrace的深度包检查，我们可以确切地看到在应用层上发生了什么。Darktrace在连接下面用斜体突出显示任何不寻常的或新的活动-我们可以很容易地看到SMB活动不仅因为使用了SMBv1，而且因为此服务器以前从未远程使用过这种类型的SMB活动到那些特定的目的地。我们还可以观察到对winreg管道的远程访问-很可能表明更多的横向移动和持久性机制已经建立了其他服务器在10月29日对网络进行了一些有针对性的地址扫描，使用典型的横向移动端口135，139和445：观察到另一个设备在10月29日进行RDP暴力强制，大约与上述地址扫描的时间相同。桌面与另一个内部服务器之间的RDP连接数量不寻常。可以看到内部连接增加（蓝色）的明显平台。顶部的每个彩色点代表RDP暴力检测。这又是一个明确的检测，没有淹没在其他噪音中-这是唯一的RDP暴力检测几个月的监测时间窗口，十月9–11：异常凭证用法darktrace标识凭证的异常使用-例如，如果管理凭据在不常用的客户端设备上使用。这可能表示服务帐户或本地管理员帐户的横向移动妥协。黑暗种族确定了另一个可能代表横向移动的活动集群，这次涉及到异常的凭证使用。在10月9日至11日期间，Darktrace发现了17个新的管理凭据被用于客户端设备的情况。虽然新的管理凭证作为正常管理活动的一部分不时地在设备上使用，但这种异常管理凭证使用的强大集群非常突出。此外，Darktrace还将某些凭据的来源标识为不寻常的结论在黑暗种族中观察到一个萨满的活感染，有一些关键的收获。虽然12月10日的实际爆炸是自动进行的，但由此引发的入侵很可能是手动的。事实上，所有引爆装置几乎在同一时间开始了它们的恶意活动，而没有相互扫描，这表明有效载荷是根据一个类似于预定任务的触发器而关闭的。这与Shamoon 3的其他报道一致。在12月10日之前的几周里，出现了各种明显的横向运动迹象，这些迹象都是以不同的爆发形式出现的，这表明手册是"低而慢"的入侵。那个对手使用经典的横向移动技术，如RDP暴力强制、PsExec、WinRM使用和滥用失窃的行政凭据。而有问题的组织有一个强大的安全态势，攻击者只需要利用一个漏洞就可以关闭整个系统。在攻击的生命周期中，暗黑种族企业免疫系统实时识别出威胁活动，并提供了许多建议措施，可以在不同的阶段防止萨满攻击。然而，人类的行动没有采取，而该组织还没有启动安提吉纳，黑暗种族的自主反应解决方案，该方案可以在安全小组的尽管如此在试验期间，由于范围有限，企业免疫系统能够检测到有效载荷的横向移动和爆炸，这表明了萨满病毒的恶意活动。一个初级分析员可以很容易地识别出这些活动，因为高严重性警报一直在生成，而可能受感染的设备位于可疑设备的顶部名单。暗黑种族安提吉纳本来可以阻止负责病毒传播的行动，同时也向安全小组发出高级别警报调查活动。即使是来自引爆装置的445端口的扫描也会被关闭，因为它显示了一个