用异常检测捕云服务器流量捉Mimikatz的行为

国际 虚拟云 浏览

小编:通过异常检测捕捉Mimkatz的行为,Threat Hunting的主管Max Heinemeyer于2019年2月15日星期五创建,最初由法国著名程序员Benjamin Delpy创建,旨在突出Windows身份验证机制中的安全漏洞,如今,M

通过异常检测捕捉Mimkatz的行为,Threat Hunting的主管Max Heinemeyer于2019年2月15日星期五创建,最初由法国著名程序员Benjamin Delpy创建,旨在突出Windows身份验证机制中的安全漏洞,如今,Mimikatz是网络罪犯军火库中的一个重要的后攻击模块,因为它促进了受害者网络的横向移动。Mimikatz是全球勒索软件攻击NotPetya和BadRabbit的主要特征,此外,2015年和2017年,据称俄罗斯黑客攻击了德国议会。Mimikatz利用的主要漏洞包括Windows的本地安全机构子系统服务(LSASS),这是为了避免用户每次试图访问内部资源时都需要重新验证。尽管LSASS有明确的实用程序,但它的工作原理是保留自上次启动以来使用的每个凭据的缓存,在缓存受到破坏时会带来明显的安全风险。广义地说,Mimikatz掠夺了这个资源,允许用户访问明文密码和NTLM哈希。有了这些数据,威胁参与者能够执行以下操作攻击:Kerberos Golden票证:提供整个系统的管理凭据域。通过-票证:允许用户将Kerberos票证传递给第二个设备,并使用该票证登录票证。KerberosSilver Ticket:提供用于登录任何网络的TGS票证发球。传球-哈希:允许用户传递一个哈希字符串以便登录。转储lsassmemory只是Mimikatz及其许多更新版本用来获取凭证的一种方法。事实上,一旦像NotPetya这样的恶意软件在单个设备上建立起来,Mimikatz模块就可以利用各种安全漏洞来获取登录到该机器的任何其他用户或计算机的密码信息:这是横向移动和权限提升的关键步骤。像许多成功的黑客工具一样,Mimikatz也启发了其他具有类似目的的程序的创建,这些程序主要是为了规避反病毒控件。使用在最基本的层面上结束猫和老鼠的游戏,安全团队可以通过确保每个用户拥有其角色所需的最低权限量来降低对Mimikatz和更一般的横向移动的脆弱性。但是,虽然这项措施肯定是谨慎的,但并不总是有效的——尤其是在应对复杂的威胁时。另一个策略是实现端点安全工具和防病毒软件,它们依赖于规则和签名来检测已知的Mimikatz变体。然而,随着Mimikatz及其仿冒者的不断发展,这些传统工具被锁定在一个不停的猫捉老鼠的游戏中,无法发现mikikatz的未知变种,而这些变种是被设计用来规避的他们。就像一种根本不同的安全方法,像Darktrace这样的人工智能系统通过学习来避免这种猫捉老鼠的游戏在"工作"期间,他们保护的用户和设备的正常行为是什么,而不是使用固定的规则和签名。这种方法提醒维护者注意任何异常活动,无论这种活动是否构成已知或未知的威胁。通常,涉及Mimikatz的横向移动将涉及到异常SMB活动的峰值,因为攻击者试图将工具写入目标设备。以下最近针对一名暗黑竞赛客户的攻击突出说明了人工智能如何允许安全团队快速检测和响应这种涉及米米卡茨:黑暗种族警报客户网络上出现的非域加入Linux设备,并对密钥进行大量SMB暴力活动服务器。图1: 黑暗种族检测SMB中的峰值活动。黑暗竞赛标记设备通过SMBv1使用管理凭据成功登录到服务器,打开\sect管道并写入可疑且可能是恶意的文件Syssvc.exe到服务器的\temp文件夹。在这之后,Darktrace立即提醒设备写入mimikatz.exe文件同样的文件夹。图2: Darktrace使用米米卡茨。跟在后面这一步,目标设备上会出现多个.tmp和.txt文件,表示Mimikatz正在继续访问密码和哈什。那个这种人工智能技术的新颖之处在于,它不依赖于字符串搜索mimikatz.exe文件相反,它突出了围绕着米米卡茨活动的不寻常行为。如上面的屏幕截图所示,这种行为构成了"新活动":Darktrace以前从未在源和目标之间看到过这种类型的SMB活动。此外,使用SMBv1是非常不寻常的环境。最后,目标环境中的设备将SMB网络驱动器写入临时文件夹是不寻常的。所有这些与客户"生活模式"的细微偏差加在一起,导致了Darktrace对Mimikatz的警觉行为。自从Mimikatz将其引入网络威胁领域,已成为网络攻击者在企业和政府网络中横向移动的高效手段。但是,通过授权安全团队在攻击者能够抢夺整个网络的密码缓存之前做出反应,人工智能网络防御系统正在挫败Mimikatz及其仿冒者差不多。麦克斯HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家,专门从事网络监控和攻击性安全。在Darktrace,Max与战略客户合作,帮助他们调查和应对威胁,并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前,马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上,他是一个白帽黑客,领导渗透测试和红队的活动。当他还在德国生活时,他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学(University of Duisburg-Essen)的硕士学位和斯图加特合作州立大学(Cooperative State University Stuttgart)的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件

当前网址:http://www.vmchk.com//linggan/icon/10462.html

 
你可能喜欢的: