NEITHNET 解決方案
NEITHNET 資安實驗室
近日收到政府單位需求,希冀提供網路惡意行為資安檢測報告,並針對政府單位內部的可疑網路行為進行清查。而在日前某企業收到政府資安單位發出的資安通報,發現該企業內,有可疑主機正持續進行惡意網址的連線。
NEITHNET針對此惡意行為,利用NEITHViewer進行內部網路惡意行為的盤查,監測數日後,發現該單位內確實有可疑主機持續發出惡意連線,利用這些分析後的威脅情資,進一步發現該單位的惡意連線與Darkside黑客組織有相當大的關聯。
底下是維基百科針對DarkSide (黑客組織)的描述:
DarkSide是一個黑客組織,曾利用勒索軟體來攻擊受害者。DarkSide的總部位於東歐,但與其他黑客組織不同的是,它並不是由國家支持的黑客組織。DarkSide基本只針對英語國家發動網絡襲擊。DarkSide的勒索軟體將默認語言設置為俄語、烏克蘭語、喬治亞語或白俄羅斯語的計算機列為白名單,這些電腦不會被該黑客組織的勒索軟體攻擊。在DarkSide網站的一份新聞稿中,該組織聲稱他們不會攻擊醫院、安寧醫院、學校、大學、非營利組織或政府部門。
DarkSide經常透過網路釣魚,或是利用遠端存取帳戶、系統以及虛擬桌面的基礎設施 (VDI)以獲得初始存取權限。另外,NEITHNET也觀察到 DarkSide 使用遠端桌面協定 (RDP) 來維持與受駭端主機進行連線,以持續竊取機密或進行提權。
在取得存取權限後,DarkSide攻擊者會部署DarkSide勒索軟體來加密和竊取敏感資料,DarkSide攻擊者主要使用洋蔥路由器(TOR)進行命令與控制。
2024上半年,某政府單位透過NEITHViewer的內網威脅鑑識系統監測,發現該單位正面臨DarkSide攻擊組織的駭客侵入。
在利用情資威脅分析的結果顯示,發現該單位在短時間內觸發各類不同攻擊情資類型,如下圖:
由上述資訊發現,企業內部不僅觸發大量Malware惡意程式類別的IP位址,也同時觸發洋蔥路由器(TOR)節點連線的相關資訊,針對洋蔥路由器(TOR)節點連線行為,進階分析後發現內部主機在短時間內發出惡意網址與駭客組織darksidfqzcuhtk2.onion暗網連線,如下圖:
透過上圖瞭解這三台主機在過去幾天共發出了18萬次DNS連線與TOR節點進行連絡,目前該單位正進行全面性資安清查與鑑識,避免後續資料外洩與加密勒索。
透過NEITHViewer的情資和內網鑑識系統,再藉由網路流量的威脅跡象,來拼湊事件更完整的樣貌,以便能採取適當的因應措施。可監控橫向擴散與縱向流量進而比對威脅情資達到可視化分析,掌握企業內部可疑活動。
網路威脅資安監控服務是由NEITHNET騰曜團隊資安專家們進行威脅分析與回應,能在第一時間內觀察到企業內部的可疑活動,透過事件告警讓企業更有效的掌握,能大幅降低企業IT維運人員的時間,提升企業全面性資安防禦能量。
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com