《黑客帝国银行家》重新加载了《威胁猎杀》主管海因迈耶（2017年10月12日，星期四）概述在过去几周里，Darktrace自信地发现了针对拉丁美洲公司的秘密攻击死灰复燃的迹象。这场有针对性的运动首次在今年3月至6月间进行。Arbor Networks最初将活动中使用的恶意软件标记为"矩阵银行家"。Proofpoint使用的名称是"Win32/RediModiUpd"。在2017年6月最后一份报告出炉时，攻击者使用的恶意软件似乎仍在开发中。Darktrace观察到2017年8月和9月针对墨西哥公司的攻击浪潮。观察到的一些TTP（工具、技术、程序）与今年早些时候的"矩阵银行家"攻击案中所看到的非常相似。这场运动被精心设计成特别隐蔽的，并融入拉丁美洲的某些网络，证实了其针对性的怀疑。Darktrace的机器学习和人工智能算法几乎可以在瞬间识别出被感染的设备，尽管恶意软件作者显然努力做到隐蔽和隐蔽。2017年8月至10月期间，大数据的发展，Darktrace在墨西哥的五个看似无关的网络上检测到高度异常的行为。与最初的攻击类型不同，这种攻击被认为几乎完全针对金融机构，但这种最新的变种影响了许多行业垂直领域的客户，这表明威胁参与者正在使他们的目标多样化。Darktrace已经看到了这次攻击对医疗保健、电信、食品和零售行业的公司造成了打击。感染过程最初的感染媒介似乎是网络钓鱼电子邮件。这些用户从受到攻击的墨西哥网站下载了最初的恶意软件。感染的文件是伪装成.mp3和.gif文件的Windows可执行文件。下载示例如下所示。Darktrace立即检测到这些高度异常的下载行为，这些行为发生在100%罕见的网络外部域中，并通知了各自的安全团队。网址：hxxp://gorrasbaratas.com[.]mx/图像/sss/声音.mp3[1]网址：hxxp://inseltech.com[.]mx/inicio/wp包括/kk/声音.mp3[2]下载的实际文件名是'徽标.gif’."矩阵银行家"攻击试图利用先前攻击中伪装的文件隐藏恶意软件下载。有意思的是，这些被黑客攻击的网站使用的是.mx顶级域名。这种本地化和有针对性的技术被用来隐藏流量，使其与墨西哥网络上的正常网络流量相融合。在最初的感染之后，在某些情况下，第二阶段的恶意软件被下载。Darktrace检测到这是更为异常的活动，因为下载是从100%罕见的外部目的地进行的：网址：hxxp://dackdack[.]club/APIv3/modules/nn_grabber_x64.dll[3]网址：hxxp://dackdack[.]club/APIv3/modules/nn_grabber_x32.dll[4]成功的第二阶段下载之后，会出现可疑的HTTP后信标行为，类似于与不同域的命令和控制通信：hxxp://kuxkux[.]位/APIv3/api.php文件hxxp://drdrfdd[猫/论坛/注销.phphxxp://eaxsess[猫/论坛/注销.php并不是所有的目标公司都收到了第二阶段的恶意软件下载。这可能意味着一个复杂的攻击计划，在这个计划中，最初的通用的秘密后门之后是一个有针对性的第二阶段有效载荷，根据受害者及其对网络犯罪分子的潜在价值（长期数据过滤、勒索软件、银行木马……）。客户报告受感染的设备的防病毒功能被禁用，或被恶意软件删除。这表明，公司不能仅仅依靠基于特征的系统来捕捉新的、不断演变的威胁。这些100%不寻常的外部域的信标行为立即被检测到，因为它代表着与设备"正常"生活模式的强烈偏离。使用.cat（用于加泰罗尼亚文化和语言的顶级域）上托管的域表明攻击者高度了解其目标受害者的文化背景，并试图使恶意软件通信与网络流量融合。这张图显示了在最初的"矩阵银行家"感染期间所显示的强烈的检测暗道。每一个彩色的点代表一个黑暗的种族检测。在感染的前后，可以看到明显偏离先前的"生活模式"。受损的计算机进一步向以下域发出重复的DNS请求：dackdack[.]技术dackdack[.]在线kuykuy[.]位在我们调查时，以下域解析为以下IP地址：142.44.188[.]42达克俱乐部eaxsess[.]目录kuxkux[.]位DRFDD[.]目录结束语虽然最终归属是不可能的，但证据强烈表明，淘客怎么做，此处描述的活动类似于2017年3月和6月观察到的"矩阵银行家"活动，可能是其延续。最初的恶意软件通过使用不同于MIME类型的文件扩展名来隐藏其文件类型。更确切地说，使用徽标.gif在之前的"黑客帝国银行家"袭击案中也曾出现过。Darktrace的人工智能技术在70个国家部署了3000个，淘客推广联盟，但所有被确认的此类妥协案例都是在拉丁美洲的组织中。"矩阵银行家"在过去的攻击中使用了加泰罗尼亚顶级域名。事实上，以前使用的一些域与这里观察到的域非常相似。9月份看到的一个域与之前的攻击完全相同，云服务器吧，只是附加了一个"s"：2017年3月/6月的示例域trtr44[.]catlalax[.]Cataxses[.]目录2017年8月/10月的示例域DRFDD[.]catkuxkux[.]biteaxsess[.]catkuykuy[.]bitdackdack[.]技术虽然域名似乎是随机生成的，但仔细观察会发现，"矩阵银行家"似乎更喜欢使用键盘上物理上靠得很近的键来生成域名，或者在缺乏命名临时下载的创造力时，通过重复可能匆忙键入的短语来生成域名（例如。asdasd.jpeg文件). 在3-6月的"矩阵银行家"活动中，云服务器是什么，我们也看到了这种域名生成模式。Darktrace的人工智能技术能够检测到这些隐秘而复杂的攻击，因为它们表现出来的方式与组织内正常的"生活模式"有很大的偏差。威胁行为体采用多种技术融合到网络的正常噪声中，但自学习算法能够快速、自动地检测出异常行为。脚注IOC列表达克俱乐部dackdack[.]技术dackdack[.]在线eaxsess[.]目录kuxkux[.]位kuykuy[.]位DRFDD[.]目录inseltech.com网站[.]mxgorrasbaratas.com网站[.]mx142.44.188[.]42[1] 此文件的总体分析[2] SHA-1:88f3bdc84908c1fb844b337c535eef2d2b31e1dc[3] 此文件的总体分析[4] VirusTotal analysis of this fileMax HeinemeyerMax是一位网络安全专家，在该领域拥有超过9年的经验，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件