人工智能是如何在部署后数小时内探测到隐藏在电网中的黑客的
2020年10月27日

当一家欧洲能源组织部署人工智能进行网络防御时,一名网络罪犯已经迈出了对该组织进行重大入侵的第一步. 尽管攻击者已经潜伏在系统里了, 暗迹能够识别出他们的活动偏离了组织中其他成员的“生活模式”.

黑客入侵了一个桌面,建立了司令部 & 控件(C2),正在下载伪装成无害的PNG文件的可执行文件. 但Darktrace会自动将台式机分组到类似设备的“对等组”中, 意识到它的行为与更广泛的群体相比是异常的.

这次入侵使用了许多常见的规避技术来绕过传统工具, 包括“靠土地生存”技术,以及在常用文件类型背后伪装恶意软件. Darktrace的检测, 后来对这些“无害”文件的分析表明,它们可能导致对受损设备的远程访问, 使用Metasploit框架.
攻击的细节

图1:攻击的时间线

立即安装, 暗迹开始监视5,000台设备, 建立他们的“生活模式”, 以及他们的同龄人, 以及更广泛的组织. 才学习了两个小时, 一个管理员的桌面被观察到与IP 78上托管的多个域进行可疑连接.142.XX.XXX. 这些连接的规律性表明感染已经在设备上形成.

第二天,观察到该桌面正在下载名为d的可疑可执行文件.随后又进行了多次类似的下载.

可执行文件通常被伪装成其他文件类型,以帮助绕过安全措施, 然而,这里不匹配的文件扩展名立即被Darktrace检测到,并标记为进一步调查.

在此活动时,由于下载源缺少OSINT,这意味着其他安全措施可能错过了可疑的HTTP连接. 然而, 与其他网络设备相比,该IP在网络上的罕见性以及不寻常的行为导致Darktrace快速检测到这种恶意信标.
受感染设备的概述

第一个模型破裂后, 暗迹继续监视被感染的设备, 图形化地表示到恶意端点w的常规连接.gemlab [.)前. 设备精确地连接到这个端点, 每隔3小时, 建议一些自动化的活动. 同组中没有其他设备显示出这种行为.

图2:在图中显示连接的Darktrace, 模型缺口用橘点表示

Darktrace检测到这些HTTP连接的可疑性质, 清晰地显示模型漏洞,以供安全团队检查和补救.

图3:模型缺口高级细节的暗痕迹

图4:设备事件日志
发现里面已经有威胁了

这是一个复杂的攻击例子,显示了试图“混入”正常交通的噪音. 然而, Darktrace的免疫系统仍然能够识别出恶意的迹象, 鉴于其自动检测和集群用户和设备的“对等组”的能力, 因此仍然可以识别出单个受损设备上的异常行为. 尽管只活跃了几个小时, Darktrace立即标记了该活动以便进一步调查.

没有Darktrace的实时检测和警报——以及安全团队的快速响应来遏制威胁——这种入侵的潜在后果是不可低估的. 有有效的指挥和控制,并授予足够的特权, 众所周知,网络犯罪分子曾破坏整个电网,导致乌克兰和爱沙尼亚的大规模停电. 另外, 黑客可以通过持有大量敏感文件来勒索赎金, 给公司造成了巨大的经济和声誉损失.

这不是Darktrace第一次识别客户环境中存在的感染,也不太可能是最后一次. 自我学习的网络防御方法不仅限于识别环境的变化, 但可以检测到现有的妥协以及规避传统规则和签名的新颖和高级攻击.

感谢Darktrace分析师Emma Foulger对上述威胁发现的见解.

原文: Darktrace

职位:siteadmin
更多的文章 网络安全
友情链接: 1 2 3 4 5 6 7 8 9 10