网络操作团队在其轨道上停止偷窃恶意软件
上周,一支负责保护该活动的数字基础架构的团队挫败了一项可能将勒索软件部署在黑帽亚洲网络上的可能性攻击。
网络运营中心(NOC)负责使会议的网络和委托对恶意演员的安全保护 - 在今年最大的黑客活动之一中,这并不是一件容易的事。
在黑帽子亚洲上周在新加坡举行的NOC特工发现了一场攻击,试图窃取与会者的个人详细信息,Mine Monero,并在内部网络上部署勒索软件。
Bart Stump, NOC team lead and solutions architect at Red Sky, explained: “We saw what was looked to be a pretty serious attack from the internet towards the registration servers, so they were trying to run a ‘red shell’ that didn’t exist and from there PowerShell a command that downloaded and ran malware.”
Stump补充说:“因此,基本上,此恶意软件正在发送垃圾邮件,然后将开始Monero开采,然后 - 然后 - 嗯,它确实可以在整个10/8上运行整个端口扫描,然后连接到10,000-plus外部主机。然后在第二阶段……凭证盗窃,然后也将勒索软件扔进了那里。”
幸运的是,该团队发现了恶意软件并将其停止,然后才能造成任何伤害。
Stump说:“他们正在登记册上尝试所有这些……这就是我们要避免的事情 - 这对我们所有人来说绝对是糟糕的一天。”
“我内心深处感到,如果您得到了这种恶意软件,并且您没有注意到所有这些事情,那么您应该得到它,” RSA的另一位NOC团队负责人兼威胁猎人尼尔·威勒(Neil Wyler)开玩笑说。“这不是一个安静的恶意软件。”
Wyler和Stump是十几个或Strong Black Hat Events NOC团队的一部分,该团队的特色是来自RSA,Palo Alto Networks,Gigimon,MyRepublic,Cisco和Ruckus在内的几家供应商的安全代表。
黑帽亚洲NOC仪表板(图片:RSA)
在每场黑色帽子展览会上,公司合作伙伴分享他们的想法,技能和经验,以期阻止对组织者和与会者的恶意攻击。
他们用于检测网络攻击的阿森纳的一部分是一个定制的仪表板,被亲切地称为“ Dashy McDashface”。
使用DeMisto的工具构建的仪表板最近被Palo Alto收购,它从合作伙伴的供应商对元数据汇总在一起,并实时显示。
使用此工具,NOC操作员可以密切关注网络并监视流量,寻找潜在的威胁以及不良的OPSEC实践。
有趣的是,团队不会阻止恶意软件。取而代之的是,它发出了一个圈养的门户信息,警告受害者他们已被妥协 - 这项功能在今年在Black Hat Asia揭幕。
威勒说,NOC员工将在手头上帮助受到妥协的用户,而不是完全阻止恶意流量。
他告诉与会者:“我们看到的大多数流量可能被认为是不好的,我们只是允许继续在网络上。
“我们不想对某人的演示失败(在培训或简报会议期间)负责,因此我们让该流量通过。
“但是,如果我们看到针对核心基础架构或注册网络的东西,那就是当我们知道没有理由有人应该击中这些东西,我们需要采取行动。”
黑帽亚洲NOC仪表板(图片:Palo Alto网络)
众所周知,黑帽子亚洲的与会者会认真对待加密。
网络上看到的安全设备的数量高达95% - 与美国拉斯维加斯展览会上看到的60%形成鲜明对比。
代表们对会议网络网络也不太信任。数字显示,在为期两天的会议期间,有962个独特的设备登录,其中有2500多名代表。
帕洛阿尔托(Palo Alto Networks)的咨询工程师桑德拉·温泽尔(Sandra Wenzel)告诉《每日SWIG》,“我们看到的加密流量的数量是,脱颖而出,实际上使每场演出都变得更好的一件事是变得更好。”beplay2018官网
“我们在ClearText中看到了很多事情,就像证书,电子邮件一样。每场演出都变得好多了。”
温泽尔(Wenzel)一直是NOC的七场演出的合伙人,他说他们在黑帽子亚洲看到的主要问题是人们没有保护自己的隐私。
Wenzel补充说:“清晰文本的凭据,人们在清晰地发送文本的人并没有真正涵盖其资产或正在做什么,人们只是没有意识到自己的位置。”
“我的意思是,您正在参加黑客会议,您正在做这些事情,我们可以看到这些东西。因此,[主要问题]并不能很好地涵盖您的曲目。”
