Blackbasta 警报 – CISO 行动指南

操作 SOCKS 代理

我们观察到他们管理至少一个公开列出的 SOCKS 代理服务器。尽管我们无法验证，但我们怀疑这些服务器被用于凭据收集或恶意软件注入。此项调查目前正在进行中。

安全研究人员

他们窃取在目标机器上发现的安全工具和许可证密钥。我们注意到他们利用虚拟机设置并进行攻击模拟，以了解如何绕过这些产品。已识别的工具包括：

• BitDefender
• CrowdStrike
• SentinelOne
• Sophos

组织必须仔细跟踪纳入其租户的主机，并确定威胁行为者是否使用您的许可证安装了 EDR。要了解威胁行为者是否使用您的许可证安装了 EDR，一些用于搜索异常的良好指标组合包括：

• BIOS 制造商
• 主机名
• 出口点

然而，这高度依赖于您的环境，请在您的上下文中寻找异常。

检测途径

在工具方面，他们使用传统的渗透测试工具，如下图所示。但是，对这些工具的检测重点应假设二进制文件将在没有端点检测与响应（EDR）系统的系统上执行。这是由于两个因素：威胁行为者拥有禁用 EDR 的程序。他们还可以使用自己的机器通过 VPN 客户端连接到您的基础设施。我们观察到威胁行为者机器上部署了多个 VPN 客户端。因此，检测重点应放在这些工具表现出的行为上。

图 1 – 工具转储

API 访问

安全自动化在蓝队中越来越受欢迎。这些自动化系统利用 API 密钥，这些密钥提供对安全平台（如 EDR）的重要访问。根据我们的观察，它们通常不像用户凭据那样受到组织的密切监控。

我们发现威胁行为者使用 API 密钥与端点检测与响应（EDR）系统交互，这可能在很长一段时间内不被检测到。因此，实施检测规则以监控可疑的 API 密钥创建或使用至关重要。幸运的是，一些 EDR 供应商提供了出色的设置来减轻这些风险。

建议

威胁行为者，即使在网络犯罪层面，也积极研究端点检测与响应（EDR）技术。鉴于此，必须假设不仅是国家行为者，网络犯罪分子也可能快速禁用您的 EDR 代理。

设备加固至关重要，同时还需要有检测机制来监控异常不活动的代理。然而，考虑超越 EDR 的检测方法。例如，身份提供商（IdP）在这方面可以成为有价值的盟友。

必须密切监控 API 密钥的使用，因为它们可以授予访问级别，允许在组织内的任何机器上执行代码，甚至禁用您的安全解决方案。即使是在市场领先的 EDR 提供商中，利用 EDR 部署恶意软件的实例也可能会增加。

检测系统 heavily 侧重于识别已知的恶意行为，而 MITRE 等框架在此过程中提供了结构。然而，我们处理过的最重要和高级的事件响应案例是基于注意到网络段或组织上下文中的异常。这些检测特定于每个组织或网络段，可能需要一些研究来定义，但它们可能为您节省几天时间和一次糟糕的违规体验。

欺骗也可以作为早期预警系统。例如，留下受监控的 API 密钥或代理安装脚本，在访问时触发警报，可以是一种有效的策略。

最后说明

如果您需要更多信息，请随时联系您的客户主管。对于非 Kudelski Security 客户，如果发生涉及 Blackbasta 的事件，请直接联系我们的事件响应团队。

Taha El Graini & KS 威胁研究团队