挫败一个无形的威胁：人工智能如何嗅出厄尔斯尼夫特洛伊麦克斯海涅迈耶，威胁狩猎的主管|星期四2009年3月21日，在过去几个月里，我分析了一些世界上最隐秘的特洛伊木马攻击，如Emotet，它们利用欺骗来绕过依赖规则和签名的传统安全工具。嘉宾撰稿人Keith Siepel还解释了网络人工智能防御系统如何在其公司的网络上捕捉到一个零日特洛伊木马，而目前还没有此类规则或签名。事实上，随着去年银行木马在我们的客户群中的发生率上升了239%，这种骗局似乎是新出现的正常。不过，一个特别复杂的特洛伊木马程序Ursnif将欺骗行为进一步推向了我们仍在观察的证据的出现。它的一些变体并不是编写包含恶意代码的可执行文件，而是利用用户自身应用程序固有的漏洞，本质上是让受害者的计算机与之对抗。这种越来越普遍的技术的结果是，一旦受害者被诱骗点击恶意链接或通过网络钓鱼电子邮件欺骗打开附件，厄尔斯尼夫就开始"生活在陆地上"，融入受害者的环境中。通过利用Microsoft Office和Windows的功能，如文档宏、PsExec和PowerShell脚本，Ursnif可以直接从计算机的拉姆。一个在最普遍和最具破坏性的Gozi银行恶意软件中，最近，Ursnif被置于一项新活动的中心，该活动使其功能得到了极大的扩展。最初是为了让主机感染间谍软件，以窃取敏感的银行信息和用户凭证，现在它还可以部署像GandCrab这样的高级勒索软件。这些新功能得到了上述难以捉摸的特洛伊木马的无文件功能的帮助，这些功能使许多安全工具看不到它，并允许它隐藏在合法的、尽管已损坏的应用程序中。因此，要想让Ursnif发光，就需要人工智能工具来学习如何识别这些应用程序的行为异常：网络人工智能在多个客户端网络上检测Ursnif第一个活动：2019年2月4日darktrace在一个客户的网络上检测到最初的Ursnif泄露，当时它捕捉到多个设备连接到一个非常不寻常的端点，并且随后下载伪装文件，导致Darktrace的"异常文件/伪装文件传输"模型被破坏。这类文件通常伪装成其他文件类型，这不仅是为了绕过传统的安全措施，而且也是为了欺骗用户——例如，通过伪装成文档.As它发生了，这个Ursnif变种在Darktrace检测到它的时候是零天，这意味着它的文件对于反病毒供应商来说是未知的。但是，尽管以前从未见过的文件绕过了客户的端点工具，Darktrace AI利用其对客户网络中每个用户和设备独特的"生活模式"的理解，在不依赖签名的情况下，将这些文件下载标记为威胁异常已下载：文件：xtex13.gasFile MIME类型：应用程序/x-dosexecSize:549.38kb连接UID:C8SlueG1mT7VdcJ00File:zyteb17.gasFile MIME类型：application/x-doxecsha-1哈希：4ed60393575d6b47bd82eeb0362bdcb8876a73fsize:276.48 kb文件：文件：adnaz2.gasFile MIME类型：application/x-dosexecSize:380.93 kb连接UID:CmPOzP1AC4tzuuuW00A终结点示例检测到：kieacsangelita[.]城市209.141.60[.]214muikarellep[.]波段.46.29.167[.]73cjasminedison[.]com.185.120.58[.]13在最初可疑下载之后，进一步观察到受影响的设备以信标连接的模式定期连接到受影响网络上以前未见过的多个罕见目的地。在某些情况下，当Darktrace识别出这些外部目的地的主机名时，它会将它们标记为可疑的，因为它们是由算法生成的域。对此类域的大量DNS请求是恶意软件感染的一个常见特征，恶意软件使用这种策略来保持与C2服务器的通信，尽管存在域黑名单。在其他情况下，端点被认为是可疑的，因为它们使用自签名的SSL证书，网络犯罪分子经常使用这种证书，因为它们不需要经过可信的验证权威。在事实上，大量的异常连接通常会触发一些暗黑种族的行为模型，其中：妥协/DGA信标异常连接/可疑的自签名SSL改进/具有信标记分的大量连接危害/信标活动到罕见的外部端点信标信标是一种常见的通信方法，当受损设备试图将信息中继到其控制基础设施，以便收到进一步指示。这种行为的特征是与一个或多个端点的持续外部连接，对于那些先前从后来与Ursnif活动相关的端点下载恶意文件的设备，这种模式被反复观察到。虽然信标行为到不寻常的目的地并不一定意味着感染，但Darktrace AI的结论是，结合可疑的文件下载，这种类型的活动清楚地表明妥协。图1： 设备事件日志，显示设备在下载恶意文件之前不久已连接到内部邮件服务器文件。侧面在最初的妥协之后，Darktrace AI还实时检测到了Ursnif的横向移动和无文件能力。对于一个受感染的设备，在上述可疑活动之后触发了"异常连接/大量新服务控制"模型漏洞。在与至少47个其他内部设备进行不正常的SMB连接后，以及在访问之前未连接的文件共享之后，该设备被标记。随后，观察到该设备正在向其他设备的服务控制管道（用于远程控制服务的通道）写入数据。这些远程控制通道的异常使用是Ursnif如何利用其无文件功能来促进横向的引人注目的例子动作。数字2： 受感染设备之一对内部设备上的服务控制管道进行的SMB写入量，如暗色部分所示尽管如此网络管理员经常使用出于合法目的的远程控制信道，Darktrace AI认为这种特殊的使用非常可疑，特别是因为这两种设备之前都违反了一些行为模型，这是由于感染。第二活动：2019年3月18日，本周第二次检测到厄尔斯尼夫运动。在检测时，C2服务器和恶意软件均不可用样品。开一家美国制造商的网络，最初的恶意软件下载发生在：xqzuua1594[.]com/loq91/10x.php？l=mow1.jad托管在IP 94.154.10[.]62上。每个恶意软件下载都是唯一的。这表示自动修补或恶意软件工厂正在背景。黑暗种族立即将其识别为另一个异常文件/伪装文件直接转移在这之后，用以下p观察初始C2参数：HTTP GETvwdlpknpsierra[.]电子邮件目的地IP:162.248.225[.]14 URI:/images/ckicicjcssnnnfajwwx6cj/0Ohp3OUfj/pI_2fzuk7ybqh33qdwz/bOUeatCG2Qfks5DTzzO/h6seil8yozeyyxkfornjfvt/hbgfcpcpvf1h/2qo12IGl/l3b18ld4zsx37tbdtupupalih/a5dl8fhel/jmpiknqffffhel/jMPIKnQfd/H.avuser代理：Mozilla/5.0（Windows NT 10.0；WOW64 64）0.0.0；w64；Trident/7.0；rv:11.0）和geckow一样，这里有趣的是C2服务器提供了Sufee管理员登录页码：C2由于浏览服务器上的随机uri会暴露仪表板的一些内容：首字母C2通信之后是持续的TCP信标到ksylviauudaren[.]波段185.180.198[.]245端口443，使用自签名证书进行SSL加密。Darktrace强调这种C2行为是对稀有端点的妥协/持续的TCP信标活动和异常连接/重复的稀有外部SSL自签名IP.As.公司写这篇文章的时候，域ksylviauudaren[.]仍然没有在OSINT中被认为是恶意的-再次突出了Darktrace的签名和规则的独立性，以捕捉以前未知的威胁。结论网络人工智能方法成功地检测到了厄尔斯尼夫感染，即使这种恶意软件的新变种是未知的安全供应商在时间。此外，它甚至通过对预期连接模式的建模，成功地捕捉到了Ursnif的横向移动文件较少的能力。从更广泛的安全背景来看，网络人工智能容易地标记出这种复杂的恶意软件——通过破坏计算机自身应用程序来采取行动的恶意软件——进一步证明了人工智能异常检测是在越来越多的几乎不可见的威胁环境中导航的唯一方法特洛伊木马.IoCskieacsangelita[.]城市209.141.60[.]214muikarellep[.]波段46.29.167[.]73cjasminedison[.]com.185.120.58[.]13xqzuua1594[.]com.94.154.10.[6]2VWDLPKNPISERRA[.]电子邮件162.248.225[.]14ksylviauudaren[.]band.185.180.198[.]245Max HeinemeyerMax是一位在该领域拥有9年以上经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。麦克斯持有th的硕士学位