情报来源：https://www.threatdown.com/blog/day-in-the-life-of-a-threatdown-mdr-analyst-stopping-a-live-ransomware-infection/

制作：梦幻的彼岸

随着勒索软件攻击在 2023 年达到历史新高，发现和清除网络入侵者的能力（即检测和响应）比以往任何时候都更加重要。但是，检测和响应的实际效果如何呢？
ThreatDown 检测和响应管理 (MDR) 团队为您解答。ThreatDown MDR 团队在美国军方和索尼公司等机构拥有超过 100 年的网络安全经验，掌握了检测和响应的艺术。
在本文中，我们将以 ThreatDown MDR 分析师的视角带您了解如何应对勒索软件感染。让我们直接进入主题。

步骤 1 ：侦测可疑活动

在 MDR 门户中，我们可以看到已针对与异常可执行文件有关的可疑活动创建了一个案例。

本案例涉及两个警报，并结合了可疑活动手册。ThreatDown 使用启发式方法生成可疑活动警报，重点关注可能表明恶意意图的系统行为。

为了进一步调查，我们将深入了解案件细节。
通过查看警报概述，我们的目标是突出任何突出的内容。在这里，我们可以看到 Netsh 被用来删除防火墙规则。我们还看到 PowerShell 被调用，其执行策略被设置为旁路，并执行了一条 base64 编码的命令。

步骤 2：进一步深入调查

在 “事件 ”选项卡中，我们可以获得更多数据，从而进一步深入了解此次调查。事件选项卡为我们提供了丰富的数据，有助于我们更深入地了解情况。
我们观察到 PowerShell 再次被使用，同时还执行了 systeminfo.exe、whoami.exe、netstat.exe 和 ipconfig.exe 等系统枚举工具，这清楚地表明了恶意软件收集系统信息以进行潜在利用或渗透的意图。调用 netsh.exe 操作防火墙规则进一步证实了我们的猜测。

我们在 SA 详情事件数据中发现了更多检测规则，证实了我们的初步发现。通过分析 CyberChef 中的 Base64 编码字符串，我们使文本变得可读，从而加深了我们的理解。

步骤 3：探索恶意文件的执行情况

以客户的Nebula环境为中心，我们探索了一个流程图，该流程图概述了从恶意文件执行开始的一系列活动。

该恶意可执行文件的进程详情显示了最后活动日期、创建日期、路径、PID、哈希值和命令行等关键信息。我们还注意到执行后的可疑活动，包括六次文件写入。

在检查恶意文件启动的 PowerShell 进程时，我们发现它被设置为绕过执行策略来执行 remotec.ps1。另一个 PowerShell 实例显示了系统枚举活动和 racoon.ps1 的执行，它会触发运行本地 Windows 实用程序来收集系统信息。

我们还重点介绍了在此次事件中触发的检测规则，提供了对端点上检测到的活动的深入了解，如修改防火墙规则和主机文件，这些都表明存在外渗企图。

在 PowerShell 脚本中，我们发现了几个与数据收集和渗透相关的操作：

• 创建指向外泄路径的变量。
• 运行 whoami、systeminfo、ipconfig 和 netstat，将输出结果导入文本文件。
• 将 sysinfo.txt 文件复制到指定文件夹。
• 将收集到的数据压缩成 zip 文件，以便数据窃取传输。
• 执行 HTTP post 请求，将数据传输到外部服务器，暗示双重勒索。
• 清理外泄文件夹并删除恶意脚本。

步骤 4：隔离终端并回滚更改

我们可以隔离受感染的终端，防止其进一步扩散，并启动修复流程，包括回滚勒索软件，将终端恢复到感染前的状态。

修复后，我们会创建一个任务来跟踪状态和正在处理的流程。

在检查受害者的机器时，我们发现了一张赎金条和扩展名为.encrypted的文件，如果不支付赎金，这些文件将无法访问。

回到 MDR 门户，根据我们的证据，我们确信这是一次勒索软件攻击。接下来的步骤是将案件的优先级设置为关键，并将案件标记为事件。然后，我们可以通过案例墙通知客户并提供建议。
回看修复任务状态，我们可以看到状态已设置为成功，表明修复工作已完成。
转回受害者机器，我们可以看到勒索软件回滚成功，端点不再受到感染。用户的数据不再被加密。

ThreatDown MDR 的与众不同之处

从最初的警报到对可疑活动的复杂分析，再到成功实施修复策略，这次演练展示了 ThreatDown MDR 为阻止勒索软件并挽救客户数据所采取的步骤。
该团队能够隔离受感染的端点、分析恶意脚本并回滚勒索软件以恢复受影响的系统，这凸显了他们全面的检测和响应方法，确保在修复过程中清除所有攻击痕迹。
ThreatDown MDR 可作为我们的精英和终极套装的一部分提供，该套装将资源有限的 IT 团队所需的技术和服务整合为四个具有成本效益的整体套装。

知识点补充

数据渗出

“exfiltration”指的是数据渗出或窃取过程。这是一种网络安全事件，发生在恶意软件成功入侵目标系统后，将敏感信息、重要数据或文件悄悄传输（即渗出）出受害者网络，传回攻击者控制的服务器或其他位置的行为。此过程是许多攻击活动中关键的一环，包括间谍活动、数据盗窃及勒索软件操作。

侦测可疑活动

侦测可疑活动是指在计算机系统或网络中发现可能表明存在恶意软件或非授权行为的过程。这一过程是确保网络安全的关键环节，涉及到多种技术和方法。以下是一些核心概念和方法：

1. 行为监控：监视系统和网络的行为模式，寻找偏离正常行为的活动。例如，异常的文件访问模式、大量网络流量的突然增加、与已知恶意IP地址的通信等，都可能是恶意软件活动的迹象。
2. 签名比对：这是基于签名的检测技术，通过将文件或网络流量中的数据片段与已知恶意软件的数字签名数据库进行比对，以识别潜在威胁。虽然这种方法快速且准确，但依赖于及时更新的签名库，并可能错过新型或修改过的恶意软件。
3. 静态分析：在不实际执行代码的情况下，对恶意软件样本进行检查。这包括解析二进制文件结构、查找恶意代码模式、分析导入的API（应用程序编程接口）调用等。静态分析可以帮助识别恶意软件的家族特征和功能。
4. 动态分析：在安全的隔离环境中（如沙箱）执行恶意软件样本，监控其运行时行为，如文件操作、注册表修改、网络通信等。动态分析能揭示恶意软件的真实意图和行为，但相对耗时且资源密集。
5. 机器学习与人工智能：应用机器学习算法和人工智能技术来学习正常与异常行为模式，从而自动侦测异常活动。这种方法能够适应新的威胁类型，提高检测率，减少误报。
6. 网络流量分析：分析进出网络的数据包，识别异常的流量模式、恶意协议使用或与恶意域名/IP的通信，这些都可能是恶意软件活动的指标。
7. 启发式分析：使用规则和算法来识别可能表明恶意活动的模式，即使这些模式之前未被明确标识为恶意。启发式方法能够捕获一些规避传统签名检测的威胁。

作为恶意软件分析工程师，综合运用上述技术，持续监控、分析和理解系统中的各种活动，对于及时发现并响应可疑活动至关重要。

进一步深入调查

进一步深入调查意味着在初步发现或识别到潜在恶意软件的迹象后，采取更为细致和深入的技术与分析方法，以便全面揭露恶意软件的功能、目的、行为模式及其潜在的威胁。这个过程通常涉及以下几个关键步骤：

1. 静态分析：首先，会进行更深入的静态分析，这包括但不限于查看软件的二进制结构、资源部分、导入导出函数、字符串常量等，以寻找异常代码片段或恶意指令。这一步骤可能利用反汇编器、十六进制编辑器等工具来辅助分析。
2. 动态分析：接着，通过沙箱环境或虚拟机等安全隔离环境执行恶意软件样本，监控其运行时的行为，如网络通信、文件操作、注册表修改等。动态分析可以帮助理解恶意软件如何与系统交互及其实现攻击的具体手法。
3. 逆向工程：对恶意软件的关键模块进行逆向，以理解其内部逻辑和加密算法，这对于揭示恶意软件的高级功能尤为重要，比如解密通信协议、理解payload触发条件等。
4. 代码关联分析：尝试将当前样本与已知恶意软件家族或攻击组织的特征进行比对，查找相似代码段或行为模式，这有助于识别攻击源并预测其后续可能的行动。
5. 日志与痕迹分析：详细审查系统日志、网络流量记录等，寻找恶意软件活动留下的线索，这些信息对于追踪感染途径、影响范围评估至关重要。
6. 情报整合：结合威胁情报源，如恶意域名数据库、IP黑名单、病毒库更新等，进一步确认恶意软件的身份、目标及潜在的威胁等级。

通过“进一步深入调查”，恶意软件分析工程师旨在构建对恶意软件的全面理解，为开发针对性的防御措施、及时阻断攻击链以及提升网络安全态势提供坚实的数据基础和技术支持。

探索恶意文件

探索恶意文件的执行情况”这一术语，我们可以将其分解为以下几个关键方面来深入理解：

1. 环境准备：首先，为了安全地探索恶意文件的行为，分析师会在受控的环境中进行操作，这通常是一个沙箱环境或者虚拟机。这样的环境被配置为模仿真实系统，但与外界隔离，以防恶意软件扩散或造成实际损害。
2. 动态分析：探索恶意文件的执行情况主要依赖于动态分析技术，这意味着分析师会实际运行恶意文件，并实时监控其行为。这包括但不限于跟踪进程创建、网络活动、文件系统更改、注册表操作以及与其他系统资源的交互。
3. 行为记录：在执行过程中，分析工具会记录下恶意软件的所有活动。这可能涉及使用如Process Monitor记录系统调用，Wireshark捕获网络流量，以及特殊的恶意软件分析平台（如Cuckoo Sandbox、VMRay或前面提到的Asami）来自动化这一过程并提供综合报告。
4. 代码注入与挂钩：分析时还需注意恶意软件是否尝试注入代码到其他进程中，或使用API挂钩技术来逃避检测和干扰分析。这是理解其隐蔽性和持久化机制的关键。
5. payload分析：探索执行过程中恶意文件释放或下载的任何额外有效载荷，这些往往是其真正恶意功能的所在，比如数据盗窃、加密文件（对于勒索软件而言）、建立后门访问等。
6. 逆向工程：在动态分析的同时，可能还需要进行静态分析或逆向工程，以理解恶意软件的核心逻辑、解密算法、命令与控制(C&C)通信协议等。
7. 影响评估：基于收集到的行为数据，分析人员会评估恶意软件对真实系统可能造成的影响，包括潜在的数据丢失、系统损坏或服务中断的风险。

“探索恶意文件的执行情况”是一个涉及多步骤、多工具和技术的过程，旨在深入理解恶意软件的工作原理及其对宿主系统的影响，为防御策略、签名开发和事件响应提供关键信息。

隔离终端并回滚更改

隔离终端并回滚更改这一术语组合具有特定的安全和技术含义，尤其在进行恶意软件分析和防护的场景中。下面分别解析这两个概念：

1. 隔离终端： 在恶意软件分析领域，隔离终端通常指的是在一个受控且与生产网络隔离的环境中对可疑软件或恶意代码进行分析的过程。这种隔离环境也被称为沙箱(sandbox)、虚拟机(vm)或隔离实验室。其目的是防止恶意软件扩散到真实系统中，造成实际损害。通过隔离，分析工程师可以在不影响外部网络资源的情况下，观察恶意软件的行为，比如它试图访问哪些系统资源、修改哪些文件、创建哪些网络连接等。这样既能深入理解恶意软件的工作原理，又能确保安全性。
2. 回滚更改： 在分析过程中，回滚更改意味着在恶意软件执行后，能够将受其影响的系统环境恢复到初始状态，即恶意软件执行前的状态。这一步骤对于重复测试和深入分析至关重要，因为它允许分析员在不留下任何持久性影响的情况下，多次执行恶意软件，探索其不同行为路径。回滚可以通过多种方式实现，包括使用虚拟机快照、操作系统卷影副本、或者专门的回滚技术，确保每次分析开始时都是一个干净、已知的状态。这样可以确保分析的准确性和一致性，同时保护分析环境免受污染或持久性威胁。

综上所述，从恶意软件分析工程师的视角，“隔离终端并回滚更改”是一种核心实践，它确保了分析工作的安全性和效率，使得研究人员能够在安全的环境下深入探究恶意软件的行为模式，而不会对实际系统造成伤害或留下残留影响。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课