丹麦经销商通过匿名Muscovite黑客集团进行攻击


猛烈攻击暗示对恶意运动的提示。 Heimdal™安全发现针对丹麦公司的Brute-Force Flowaign

由Vladimir Unterfinger.

介绍

Heimdal™安全的 事件响应和管理团队最近出土的证据证明了关于丹麦土壤运行的匿名莫斯科的黑客电池。我们分析的数据揭示了针对各种组织的暴力攻击的普遍性。考虑攻击的频率和严重程度,我们已经妨碍了他们被组织犯罪集团策划了策划。网络遥测分析支持此评估 - DK经销商攻击所涉及的IP地址似乎已集中在莫斯科周围。这一假设仍在讨论,因为威胁演员可以使用代理方法来混淆。

我们公司的最新方法是防火墙安全性的方法,使威胁组可以从丹麦经销商抵抗敏感数据之前拦截和抵消这些攻击。内部数据已经产生了有价值的英特尔关于该集团的英特尔 Modus Operandi..

Muscovite集团从8个不同的IP地址启动了蛮力和字典类型攻击,针对四个主要经济型运营商(即丹麦经销商和其他三个国际品牌)以及个人电子邮件地址。最后一次操作可以表示(潜在)未来业务电子邮件危及(B.E.c)广告系列的数据收集阶段的开头。但是,没有足够的数据来支持这一索赔。鉴于上下文,抵押品凭证收获是对个人电子邮件地址持续攻击的唯一合理解释。 

在多管制恶意运动的背景下,暴力攻击并不特别有效。但是,给予足够的时间,尝试和子分析网络安全习惯,蛮力攻击可以像赎金软件一样高效。

重建事件的时间表

10月14日,我们的事件响应和管理团队有关于丹麦经销商的蛮力尝试。仪表板遥测表明了凌晨9点左右的几次蛮力尝试。就本特殊客户而言,共有1,168次攻击抵御经销商。

在整个蛮力会话中使用了八个不同的莫斯科,IPS。见下面的图片。 

超过30%的蛮力尝试源自一个IP地址。数字法医分析显示,同样IP - 45.141.87.18–参与了针对其他三家公司进行的袭击事件(即其中一家也总部位于丹麦)。

在建立蛮力/攻击词典病因后,我们继续收集事件的其他数据,以便确定这是否确实是恶意运动的开始。

到目前为止,英特尔显示,主要攻击IP地址在三个月前使用,在对阵美国的一家公司的持续攻击期间。有趣的是,对北美经营者进行的所有侵略都是从单一的IP地址完成的,即在丹麦经销商攻势中集中使用的侵权。

检测到八个IP变化。 IP切换是定期完成的(即30-40秒)。百分位数如下:

  • 第一和第二IP变化之间的-18%。
  • 第二和第三IP变化之间的61%。
  • 第三和第四个IP变化之间的-11%。
  • 第四个和第五个IP变化之间-45%。

对于剩余的IP交换机,尝试编号保持不变。

最小的阈值已经记录在56 - 暴力 - 强制尝试幅度= 390.早期美国蛮力侵略与丹麦事件之间的唯一分母是莫斯科IP。它受到的推理是,该小组可能已经使用北美攻击期间收集的数据,以蛮力进入丹麦公司的数据库。通过比较每次攻击期间的尝试次数,可以轻易推断出这个事实:

1000+(丹麦零售商)与20,000+(美国公司)

第五IP(185.202.0.117)也用于针对个人电子邮件地址的蛮力攻击。注册了关于Gmail地址的30次蛮力尝试。从恶意IP地址列表中,已利用单个IP地址来执行此暴力裂解。有问题的电子邮件地址未与威胁组针对的任何公司都连接。 

基于IP的蛮力尝试分配 在下面的图表中被推动。

与每个攻击相关联的数字如下:

IP.命中率
45.141.57.1821155
45.145.67.73316
193.57.40.29124
193.106.31.106110
185.202.0.11793
195.54.161.6113
45.145.66.17556
45.145.67.13956

假设

在分析安全事件时,我们已经得出以下结论:

  • 涉及学习遏制。

考虑到与美国相关的数字和DK攻击,我们可以猜测第一次侵略的目的是丰富攻击词典。考虑到所有数字似乎在整个电路板上减少,特别是在每个IP开关之后,假设非常合理。人们可以倾向于说最新的批次几乎是手术。

  • 有一个以上的肇事者。

对大型目标进行的攻击很少是孤独的狼的工作。此操作可能有多个人参与其中。在蛮力攻击的数量中,目标的高调和横向运动,我们可以得出结论,这是一个恶意运动,或者至少是一个爆炸的运动。

独特的智能,无与伦比的结果

蛮力攻击是最低有效的数据 - 抗污染方法。事实上,它们被用作道德黑客课程中的教学工具,以证明密码创建中的alpha-numerication的重要性。尽管如此,在蛮力攻击中的这种复苏证明人类因素或人为错误,在这种情况下,即使是最有效的网络防御也可以无效。

这是可操作智能至关重要的原因 - 了解威胁演员将罢工的何时或何地。例如,如果仪表板没有记录蛮力尝试,我们就不会发现此威胁组。单独的数字不相关;人类的专业知识在威胁狩猎中产生了很大的差异。

Thor警惕的蛮力检测和调解特征是数字驱动的机器学习符合人类专业知识和独特情报的地方。


继承港口DK的Heimdal安全面试,遵循蛮力攻击事件

  1. 您是Heimdal™安全经销商多久了?

“我们现在一直在两年后与Heimdal有多年来一直看到没有理由做出任何改变。在此之后,我们肯定会坚持这一伙伴关系。“

  1. 您目前为您的客户提供什么Heimdal安全产品以及在您自己的环境中使用?

“Thor Premium Enterprise,包含DNS流量过滤器的一体化端点检测和响应套件,具有防火墙集成功能和Brute-Force Antract阻塞的精彩AV(刚才刚刚从这些俄罗斯黑客攻击中保存)和自动补丁管理。我们也使用Thor Adminvivilege,Pam解决方案,我们很高兴他们进入一个集成的仪表板。我们目前还在最终确定收购电子邮件安全模块。底线 - 我们正在使用Heimdal Security的一切,我们也向我们自己的客户推广一切。“

                    (摘录与Martin Mikael Lauritzen的采访, 港口 APS内部代表)


结论

丹麦经销商的蛮力尝试证明,即使是一秒钟,我们也不能让我们的警卫。这种黑客技术远非退休。在过去的六个月里,我们目睹了暴力攻击中的复兴。他们中的大多数是针对SMB和机构启动的。据我们所知,BFA可以通过保持您的AV数据库最新,并定期检查防火墙的排除规则来轻松抵消BFA。


关于Vladimir Unterfinger

弗拉基米尔’s 博客巫师,科技“junkie”,总是瘙痒,以学习网络安全和数字取证的新事物。


Follow 华晨安全杂志on 推特, Facebook, 和 linkedin. 确保您收到最新安全和网络安全新闻和信息的警报。