安全分析员的观点:用服务器做云盘暗色轨道探测和调查横向

国际 虚拟云 浏览

小编:安全分析师观点:与Expel高级安全分析师DarktraceTyler Fornes(Guest Contributor)|周二3月12日,2019以下嘉宾撰写的博客文章分析了Darktrace在客户的网络。AtExpel是一家托管安全提供商,我们的

安全分析师观点:与Expel高级安全分析师DarktraceTyler Fornes(Guest Contributor)|周二3月12日,2019以下嘉宾撰写的博客文章分析了Darktrace在客户的网络。AtExpel是一家托管安全提供商,我们的分析师每天都要使用很多非常酷的技术,包括Darktrace。考虑到它在客户中的受欢迎程度,我们认为演示一下Darktrace如何帮助我们识别和分类潜在的安全性是很有用的威胁。这里这是我们团队调查远程文件拷贝的一个例子SMB.调查暗色警报看看这个警报。它是通过违反预定的设备/AT服务的预包装模型之一而触发的任务。到对这个特定警报进行分类,我们需要回答以下问题问题:是什么引发模型警报的触发器?计划任务是在哪个主机上创建的?有文件被转移吗?这种活动在这些主机之间是否常见?通过回答这些问题,我们可以确定此警报是否与恶意活动有关。首先,我们需要收集更多的证据控制台。At此时,我们知道模型破坏设备/AT服务调度任务被触发。但这是什么意思?让我们查看模型并探索逻辑。看在这个模型破坏背后的逻辑中,我们可以看到任何包含字符串"atsvc"和"IPC$"的消息都将匹配此模型破坏。而且,由于频率设置为">0,在60分钟内",我们可以假设,一旦只看到一次该活动,它就会触发警报。通过理解这个逻辑,我们现在知道:下一个,我们来获取一些数据。我们打开了模型破坏事件日志,以查看针对该模型破坏观察到的相关事件。有一个成功的DCE-RPC绑定,然后是SMB写入/读取成功,包含关键字"atsvc"和"IPC$"。我们将更多信息转向模型破坏事件日志的此事件功能的"查看高级搜索"信息。那个针对这个模型漏洞的高级搜索结果显示了两条截然不同的消息。对于帐户"appadmin"有一个成功的NTLM身份验证消息。由于NTLM通常与SMB一起用于身份验证,这很可能是源计算机用于建立SMB的帐户会议。马上在这次认证之后,我们看到下面的DCE-RPC消息,该消息针对正在创建的命名管道,其中包括我们知道了RPC绑定是引用SASec接口创建的。通过快速的在线搜索,我们了解到SASec接口"只包含用于操作帐户信息的方法,因为大多数SASec创建的任务配置都是使用.JOB文件格式0存储在文件系统中的。"这种连接的一个可能的解释是,它是用来查询有关定义的计划任务的信息的在.JOB格式中,而不是在主机上创建新的计划任务。但是,Darktrace在这个模型漏洞中没有显示任何关于扩展名为".JOB"的文件的消息。所以我们继续挖掘答案。由在我们已经观察到的活动的时间范围内查询"*.JOB AND SMB",一些有希望的结果出现:我们观察到了三个独特的.JOB文件是在我们之前的观察期间通过SMB访问的。考虑到主机和时间框架,我们将此活动与原始模型关联起来突破。所以我们知道以下:回答最后一个调查问题,我们用了这个问题"AV.工作在过去的60天里。此查询返回几个月前相同活动的每日条目。该活动每天大约在同一时间发生,涉及相同的主机和文件路径。这个开始有合法活动的味道,但我们仍然想分析请求文件的内容AV工作. 我们为模型中观察到的源IP地址的时间范围创建了一个5分钟窗口的包捕获突破。一次我们收集了PCAP,在Wireshark中下载并分析了它,然后使用Export对象提取传输的文件特色。这个此文件的内容引用位于C:\Program的可执行文件文件\Sophos\Sophos Anti-Virus\后台扫描客户端.exe. 根据在中找到的.JOB文件的名称判断,它很可能是为在每个端点上执行防病毒扫描而创建的合法计划任务早上好。复习我们最初的分析问题,我们可以自信地回答这四个问题问题:黑暗种族的网络防御平台使我们的分析师能够快速确认和判断潜在威胁活动,并识别与攻击相关的网络指标(NBI)。它还可以生成额外的、基于宿主的指标(HBI),以补充您的调查。总之,Darktrace AI使我们的驱逐分析人员能够快速、高效地确定事件范围或在整个组织中搜寻威胁,而不需要由分析师.份额在LinkedIn上的FacebookTweetShare发送电子邮件

当前网址:http://www.vmchk.com//linggan/icon/10465.html

 
你可能喜欢的: