https://twitter.com/hashtag/cryptoworm
Introduction
在去年年底,Marco Ramilli 發表了一篇關於 in-memory Powershell-WMI CryptoWorm 的文章。很慶幸的,SentinelOne 發現了這種傳播 CryptoWorm 的新活動變體。在這篇文章中,我們將審視這個變體中的新內容,並建議如何將它從受感染的網路中移除。
這個版本有什麼新功能?
Communication 此種 CryptoWorm 通過 HTTP 進行傳達。它使用主伺服器的 IP 地址及使用 DNS 地址作為後備。 
Figure 1 – Command-and-Control Servers Fallback
惡意程式的 IP 是195.22.127.93 和 windowsdefenderhost.club(port 8000)的子域。與之前的版本不同,如果檔案是在Powershell之外下載的,則伺服器回覆403 Forbidden HTTP 錯誤代碼。蠕蟲也可以從 CNC 服務器上自我更新。它檢查自己的版本並將其與伺服器上 ver.txt 文件中寫入的版本進行比較。如果有更高版本可用,它將下載並更新。
Figure 2 – Version Control
現在,CryptoWorm版本是1.4。它有兩個 Powershell 腳本,每個操作系統體系結構一個:32位的 info3.ps1 和 64 位的info6.ps1。
持久性
此惡意軟體使用 WMI 計時器方法來實現持久性。它設置計時器並使用 WMI 事件使用者。現階版本計時器和事件使用者使用名稱“SCM Events Log Filter”,“SCM Events Log Consumer”。先前的版本分別使用`SCM Event Filter`和`SCM Event Consumer`。
散播
像舊版本一樣,這種蠕蟲使用少量的方法來散播至整個網路。它通過發布 Invoke-ReflectivePEInjection 並加載 Mimikatz 來竊取憑證。 之後,它使用 Powershell 中執行的 Invoke-WMIExec 和 Eternal Blue 進行散播。最後,它在遠端機器上運行遠端安裝命令。
阻止 SMB 連接
此惡意程式阻止傳入 SMB 連接到受感染的機器。可能為了防止其他類型的惡意軟體使用相同的方法散播,刪除CryptoWorm 或使用CPU。 
Figure 3 – Firewall Blocking Rules
Conclusion
SentinelOne 的客戶不用擔心該 CryptoWorm 的任何一個版本,因為 SentinelOne agent 使用從 2.0 版開始的行為 AI 引擎檢測並阻止它。對於沒有 SentinelOne 的讀者,以下將解釋如何從他們的網路中刪除這個 CryptoWorm: 在所有網路主機上同時運行相同的命令是一個麻煩的過程。因此,從網路中刪除蠕蟲最困難的部分是阻止它從其他的主機散播到新清理乾淨的主機。 因此,為了消除這種蠕蟲,首先我們建議先將它的遠端命令行列入黑名單。這項措施將防止它再散播開來。 之後,我們建議殺死 CryptoWorm Powershell 進程,刪除其防火牆規則以及 WMI 計時器篩選器和 WMI 事件使用者。 這是一個移除 PS 腳本,用於刪除防火牆規則並刪除 WMI 項目。請以管理員身份運行。 在以下附錄中,我們詳細介紹了要阻止的相關命令行和 IP。
Demo
在以下 Demo 影片 中,我們運行無檔案 CryptoWorm,它是從真正的 CNC 直接下載到內存中。 可以看到 SentinelOne 如何檢測並阻止它。
Appendix
IOCs Malicious IP and domain addresses:
Malicious files (SHA1 hashes):
Available here.
0 Comments
 讓我先事先說明,這不是一篇業配文,但如果有人因此受到傷害,就讓他們就來吧!這篇文章也是NSFM 限制級。而我相信在2015年,這適合在工作閱讀 - 但絕對不適合媽媽幫。 如果你曾經閱讀過我的其他文章,沒有的話也請立馬閱讀,你會知道我喜歡用很好的比喻。本直著透明的精神,這篇文章幾乎是一個故事,敘述了一個飢餓的男子有一個釣竿,並準備拋向到一個儲備豐富的湖泊。但說實話,我本人討厭釣魚。當我去的時候,我寧願拿起一瓶酒,故意忘記誘餌......但這將是一個不同的故事。 所以相反的,這是一篇愛情故事......但也可能是尷尬的故事... 我已經參與這場遊戲二十年了。在玩 BI 的領域中,這算是一個不短的時間。事實也證明了,我有很多BI 工具。但一個男人在最終的某個時刻,他還是需要一個好女人,好好的安頓下來。我想在2015年是可以安全地說一個好的男人......但我會把這個故事留給其他人。 好女人難尋.. 我與 MicroStrategy 有關係好一段時間了。隨著與她交往中,她是非常隨和的。事實上,當你在Data Technology 中聆聽你的朋友時,他們總是試圖向你推銷她。但有一個很好的理由可以讓你堅決反對這個觀點,那就是她提供的維護很少。所以謝謝有緣再聯絡。 接下來是Essbase。外傳她知道 Kama Sutra 中所敘述的每一個位置。但我必須說實話,她似乎沒有興趣與我一起做這些事情。她的金融朋友說她只是有點複雜。我的供應商暗示我沒有足夠的經驗。老實說,她讓我覺得我是不及格......但這最好留給我的治療師的來說吧。 然後是Tableau。她絕對是個美女,而且很簡單。對不起老媽。但她真的很容易上手。與Tableau,可以在第一次約會時就直衝三壘!但不幸的是,她不擅長長期合作關係。特別是牽扯到數據和其他用戶時,她還是可以解決問題:雖然一些更混雜的人喜歡讓她站一邊參與,但我會形容她有點混亂。 然後我找到了 Qlikview 雖說 Qlikview 不是最漂亮的女孩,但當她穿上那件黑色的小禮服時,她是非常有吸引力。她建立了良好的關係,非常的開放,在社交社群中廣為人知。最好的是,大多數的時候,我所有的朋友都喜歡她。 她有時讓我發瘋。有時喜怒無常。會議總是遲到。是一個固執女人,總是將 slider bars 移動到圖表的另一側。無論我們同意如何開始,她總是會忘記。有時候,當我按錯鈕時,她會沉默的對待我和無神的眼光要我來啟動。 也可以用母親 來形容她。真的,她很擅長照顧孩子們。她在他們後面收拾殘局並幫助他們完成作業。但人無完人,房子還是有點亂,洗衣服對他來說可能是一個挑戰。但是,她很擅長送乾洗,而且現在我們有一個女傭。 我仍然是不明白關於她的許多事情。她的一些故事是無稽之談,她並讓我嘗試了一些最奇怪的東西。我的意思是......設置符號...真的有需要嗎?她跳舞時感到緊張,而且她的朋友 NPrinting 也是常常破壞舞會。 對於製造錯誤我也小有貢獻。她稱他們為使用者錯誤。她的 HoneyDo 清單很長,而且有時是困難的工作。然而我依舊在等待一個可以給我一杯啤酒的課題(或一杯葡萄酒), 但是她又會把它扔給我...... 最後,這是一個很好的關係,只需要一些額外的照料,它就會很棒。 Qlikview 是你安定下來的那種女孩,而安定下來也並不是那麼糟糕。
小編一直到現在都無法置信居然純樸的菜市場都會被 wannacry 攻擊.
Yes, wannacry 想哭 is back again! 而且這次是襲擊了傳統的菜市場.... 先讓小編來喚起大家對於wannacry 的記憶 - WannaCry(又名Wanna Decryptor),一種“蠕蟲式”的勒索病毒軟體,由不法分子利用NSA(National Security Agency,美國國家安全局)洩露的危險漏洞 “EternalBlue”(永恆之藍)進行散播 。其攻擊特點利用Windows操作系統445端口存在的漏洞進行散播,並具有自我複制、主動散播的特性。 被該勒索軟體入侵後,用戶主機系統內的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密,加密文件的副檔名被統一修改為 .WNCRY,並會在桌面彈出勒索對話框,要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨著時間的推移而增加。 
那麼 SentinelOne 使否可以成功的阻擋?請見以下視頻!!
By Amit Chowdhry
SentinelOne 是一家專注通過端末保護企業的次世代網路安全公司。 SentinelOne 端末保護平台(EPP)技術著重於行為阻止並利用人工智慧,而不使用特徵碼,這使其成為市場上其他防病毒軟體的有力代替品。 SentinelOne 的 EPP 服務也可以與傳統的防毒軟體兼容,提供希望可同時運行的企業組織使用。該解決方案還結合了端末檢測和回應(EDR)功能,如修復和 roll back,,以及廣大的能見度 - 甚至可用於加密流量 - 用於搜尋威脅。
那為什麼行為阻止很重要? SentinelOne 檢視動態執行模式來發現端末是否受到攻擊 - 端末可能包括連接到公司網路的筆電,伺服器或雲端工作負載。由於 SentinelOne 的訓練是來自好數百萬好與壞的行為模式,它可以防止甚至未知的惡意軟軟體散播,並且就本質上,比數百萬個特徵碼還更有效。 EPP 還可以自動隔離檔案,終止進程,甚至將機器恢復並修復回已知狀態。通過靜態和行為 AI 與駐留在端末上的模具相結合,SentinelOne 能夠針對最廣泛的檔案和無檔案攻擊類型實現最高功效及最小的誤報和系統影響。
自2013年SentinelOne推出以來,籌資超過1.1億美元。一些 SentinelOne 的投資者包括Accel Partners,Tiger Global Management,Sound Ventures,Third Points Ventures,Redpoint 和Data Collective。為了解更多的有關於 SentinelOne ,我採訪了首席執行官和共同創始人 Tomer Weingarten。
Weingarten 告訴我,電腦和軟體總是讓他著迷。他在青少年時期就與 SentinelOne 的聯合創始人之一相識,他們都對研究網路安全和挑戰當前的防禦措施感到興趣。 Weingarten在接受採訪時說:“這是一個與我們現在正在經歷的事情完全不同的時代,一切都很容易被破解。” “我的共同創始人將他的熱情轉為職業生涯,並加入了Checkpoint(他在那裡遇到了我們的第三位共同創始人),同時我繼續建立其他公司,研究和利用統計分析 - 今日可能被稱為”機器學習“。”
此時,Weingarten 表示,所有共同創始人聯合起來概念化一個理想保護軟體的外觀。 “通過構建一個可以即時監控設備的自主 AI 核心,通過一個輕量級 agent 自動化阻止,檢測甚至修復攻擊,我們已經能夠建立出具有無與倫比的功效和可全面覆蓋平台的產品 ”, Weingarten並補充道。 “其自動 EDR 功能可以在執行後部署 roll back 的功能,以將主機恢復到未感染狀態。該平台具備了從開始到結束的端末和威脅的 360 度視圖,從而為數位鑑識和策略執行提供強大之功能。“
Weingarten指出,沙盒和特徵碼將無法應對日益嚴峻的“越來越來勢洶洶的攻擊格局”。因此,SentinelOne 團隊知道唯一有效的防線為誘捕和阻止端末設備上的攻擊者。這些想法恰好與人工智慧和機器學習的進步相吻合。
“我們知道,機器學習將創建一個強大且有效的新方法來即時檢測和阻止攻擊,而無需任何關於攻擊或含惡意程式執行檔的特定預先知識。這是一個令人難以置信的突破 - 使我們的技術能夠使用統計分析來準確預測嘗試在端末上運行的內容是惡意的 ” Weingarten解釋說。
在 2013 年初建立第一個原型之後,SentinelOne 團隊向全球最先進技術公司的安全和基礎設施的團隊展示了它。在得到資安專家的正面反饋後,最初的產品有了更進一步的發展。此後更多的資金投入,現在該公司在全球僱用了近 300 人。 SentinelOne 也擁有超過 2,000 名客戶,公司在 2017 年同比增長達到 300%。
此外,SentinelOne 在第三方測試中連續排名第一。例如,AV Test 將S entinelOne 評為唯一在Mac平台上“防範所有攻擊者100% ”的提供商。 SentinelOne 被選為第一個也是唯一與 Windows Defender 高級威脅防護(ATP)服務集成以涵蓋 Mac 和Linux 設備平台的次世代端末防護平台(EPP)。一個領先的研發團隊,SentinelOne 最近在GitHub宣布的開放原始碼計劃來回饋族群。
那又是什麼讓 SentinelOne 是更有價值?因為該平台是自主性的。 SentinelOne 在端末上使用機器學習和人工智慧來動態分析運行設備上的所有的低階進程。
“我們是唯一可提供部署在內部和雲端環境中的次世代端末保護平台。也是市場上唯一就單一個 agent ,可完全融合端末保護平台(EPP)和端點檢測與響應(EDR) ” Weingarten特別強調。 “我們也是唯一一個由端末提供,從加密流量中可檢視全面威脅的解決方案,因此無需在網路流量時解密和重新加密。”
“網路正在經歷一次重大轉變,傳統預防的逝去不僅將保護的重心,還包括存取控制 - 轉移到端末。隨著我們 Deep Visibility 的發布,我們首次嘗試對網路數據路徑進行控制, ” Weingarten 總結。 “這些數據讓我們能夠有效地進行模具建立,並且僅能通過軟體進行 - 網路存取和使用的真實狀況 - 沒有任何界限,無論設備在哪裡,甚至是在雲端上。在現代企業中,以你喜好的方式來定義您的網路,且以一種非常適合當今數據消費量模式的方式,這就是最終的靈活性。“
有針對性攻擊的 Samsam 第ㄧ次是在2016年左右首次出現,它瞄準了醫療保健行業並且是一個很典型的勒索軟體,受害者通過點擊惡意鏈接,email 附件或惡意廣告進行感染。 因為 Samsam 直接使用 Red Hat's JBoss產品中的漏洞感染伺服器,所以變得獨一無二。駭客使用 JexBoss:一個開放原始碼滲透測試工具等其他工具來識別 JBoss 伺服器中未修補的漏洞。一旦駭客滲透其中一台伺服器,他們會將 Samsam 安裝到目標中的 Web 應用程序伺服器上,並將勒索軟件客戶端散播到Windows 設備並對其文件進行加密。
至 2016 年 4 月底,Samsam 已目標攻擊至少 58 個組織,包括醫療保健行業。 MedStar Health 是一家 50 億美元的醫療服務朱組織,在馬里蘭州和華盛頓特區擁有 10 家醫院,員工超過 30,000 人,是第一個受到攻擊並被勒鎖 45 比特幣或18,500美元贖金的公司之一。儘管所有營運都被迫停止,但很幸運的,MedStar不需付贖金。除 MedStar 之外,洛杉磯的好萊塢長老會醫療中心遭到駭客攻擊並且支付了將近 17,000 美元的贖金,德國的兩家醫療機構及肯塔基州Henderson 的衛理公會醫院也遭到了攻擊。 2018 年 3 月 23 日星期五,亞特蘭大市發布了以下信息: 亞特蘭大市目前正面臨著各種客戶使用的應用程序的停機問題,其中包括一些客戶可能用來支付賬單或與法院有關的信息。我們將會發布任何更新訊息。 — City of Atlanta, GA (@Cityofatlanta) March 22, 2018 
接下來是新聞發表會:
市長 @KeishaBottoms 針對安全漏洞招開新聞發表會. https://t.co/h1WlcyUc6x — City of Atlanta, GA (@Cityofatlanta) March 22, 2018 根據 11Alive,是 Samsam 所做的攻擊。年初時 Samsam 也攻擊了科羅拉多州交通部。
Demo
Analysis
SentinelOne會在 pre-execution 及 on-execution 就檢測到 Samsam 。在默認 policy 中,它將不會被允許執行。如果設置為檢測模式,SentinelOne 會檢測勒索軟體專門使用的行為,意指掃描硬碟上的文件,並用加密的版本替換它們。鑑於Samsam 使用漏洞進行部署,SentinelOne 會在此階段檢測到攻擊。在 Attack Storyline 中,我們看到 SentinelOne agent 檢測到 Samsam,從而防止文件被加密並無法恢復。此外,如果未檢測到漏洞利用,SentinelOne 將檢測到受攻擊伺服器向網路上其他伺服器的任何橫向移動。在勒索軟體能夠執行之前,SentinelOne的早期檢測將會發現 Samsam 攻擊。另外,Samsam會刪除 shadow copies,使IT管理員無法將檔案和應用程式恢復到未加密狀態。 SentinelOne 識別此行為並檢測Samsam何時嘗試刪除 shadow copies。如果有什麼東西漏掉了,SentinelOne 能夠修復受攻擊的檔案並將它們回轉到預先加密的狀態。 
Qlik管理控制台 (QMC)是一個基於Web的應用程序,用於配置和管理你的 Qlik Sense網站。
可觀看本影片以瞭解QMC概念。 為什麼我們是獨一無二的! 了解為什麼Gartner連續第八次將Qlik作為分析與商業智慧平台魔術象限的領導者:  
在您的Qlik Sense儀表版加入背景圖。或是您的企業logo。
這是一個簡單的Qlik Sense Extension,允許用戶將背景圖片放入Qlik Sense中。 也可以將圖像與字段值或其他類型的條件相關聯以動態更改背景圖像。 
今天早些時候發布,一個惡意勒所軟體試圖在3月6日12小時內感染400,000個用戶。該勒所軟體是Dofoil的一個變種,攜帶一個虛擬貨幣礦工。
此惡意軟體通常通過具有 DOC 或 ZIP 檔附件的垃圾電子郵件來感染主機。然後連接到 C&C server 以獲得指令,下載並執行惡意檔。 正如 bleepingcomputer 發布的那樣,惡意碼會分離第二個 explorer.exe,下載並運行偽裝成合法Windows文件的cryptocurrency 礦工。 好消息是 SentinelOne 的客戶完全受到保護。在幾毫秒內,SentinelOne 技術將 Dofoil 檢測為有害,並對其進行分類並阻止執行。
DEMO
在視頻中,你可以看到具有默認策略的 SentinelOne 2.5版如何防止 Dofoil 的三個不同的範本,即使在 offline 時也是如此。 一旦主機 offline,我們已將惡意範例複製到桌面,agent 立即隔離文件,擋住並阻止木馬執行並造成傷害。
之後,我們允許它執行以查看 SentinelOne 行為 AI 如何檢測它。以下是在緩解之前所執行的程度。
在檢測中,我們觀察到以下指標:
如下方顯示,SentinelOne 控制台已將範本分類。此功能可用於啟動在 EA 中的 Banff 管理版本。
CONCLUSION
當如此多的設備被感染得如此之快時,很明顯的,你需要的是一種能夠在微秒內防止自動化解決方案。若是這麼多設備被感染,企業將付出成本是很大的。如果 SentinelOne 已經為你提供保護,we got you covered。 原文 
前幾天 bleepingcomputer 寫了一篇關於 Thanatos 的勒索軟體。
這支病毒有兩方面的獨特之處:
Demo
在影像中,你可以注意到 SentinelOne 即使在 offline 時也會阻止Thanatos Ransomware。能夠檢測和阻止威脅的邏輯停留在代理端,使從檢測到降低風險的時間僅需一秒鐘。
Technical explanation
先讓我們深入了解 SentinelOne 技術如何檢測到這一點。為此,我們將政策更改為僅檢測並審查了它正在嘗試執行的操作。首先,讓我們檢查一下我們在允許它運行之前看到的指標: 
如果稍後允許運行,你可以找到攻擊概要。它表示 Anti-Detection 反檢測,Exploitation 開發和 System Manipulation 系統操縱。
在檢查 storyline 時,你可以觀察整個影響。使用 SentinelOne 行為 AI,它能夠在有機會加密任何內容之前就終止勒索軟體。你也可以看到更多的指標,比如使用 cmd 命令刪除嘗試,然後產生一個系統過程來造成傷害。在下面的圖片中顯示:
Conclusions
廣告商不會對其代碼進行 QA 檢查。在這種情況下,被加密的文件成為不可逆轉,你需要一個自動化解決方案,無論是否需要連接,都可以緩解這些網路威脅。這就是 SentinelOne 來如何節省時間。 原文 |
Archives
May 2018
Categories |
RSS Feed