Splunk 威脅研究團隊 （STRT） 安全內容綜述(匯總)

Splunk 威脅研究團隊 （STRT） 持續監控威脅態勢，以開發、測試和提供自定義檢測搜索，以幫助識別環境中的漏洞和網路攻擊。 與特定威脅相關的所有檢測都以分析故事（也稱為用例）的形式打包，並存放在 Splunk安全內容網站以及安全內容 GitHub 儲存庫中。

本文章匯總了 STRT 從前幾個季度開發的安全內容，所有這些內容現在都可以通過Enterprise Security Content Update app獲得。

正在尋找最新的安全內容？我們已經為您準備好了！
________________________________________
________________________________________

Splunk 安全內容：第二季度綜述
以下是 2023 年 5 月至 7 月期間開發的所有安全內容的概述。

對手 Tradecraft 分析案例
Amadey 惡意軟體是一種殭屍網路，被用作惡意軟體即服務 （MaaS） 並分發 RedLine Stealer 等惡意軟體。 您可以在 Amadey 分析故事中閱讀 Amadey 的 STRT 分析，並在 Amadey 分析故事中尋找檢測， 以搜尋與惡意軟體相關的活動。

5 月，DFIR 報告發佈了有關利用 Truebot、FlawedGrace 和 MBR 殺手惡意軟體的破壞性惡意軟體活動的資訊。 STRT 開發了 Graceful Wipe Out Attack 分析故事，以檢測和調查與該活動相關的異常活動。

Active Directory 中的漏洞可為攻擊者提供多種攻擊路徑。 Active Directory （AD） 中的許可權升級攻擊通常涉及濫用錯誤配置來獲取提升的許可權，例如全域管理員訪問許可權。 一旦攻擊者提升了其許可權並完全控制了租戶，他們就可能濫用利用 AD 的每個服務。 安全團隊應監視 Active Directory 中的許可權升級攻擊，以便在攻擊者實現操作成功之前識別違規行為。 Azure Active Directory 許可權提升和 Active Directory 許可權升級分析情景提供了用於監視 Active Directory 租戶中與許可權提升攻擊相關的活動和技術的方法。

今年早些時候，據報導，UEFI 啟動套件 BlackLotus 繞過了 Windows 11 系統上的安全啟動。 STRT 開發了 Windows BootKit 分析案例來檢測和防禦 Bootkit 攻擊。
 
勒索軟體分析案例
RedLine Stealer 惡意軟體在 5 月份因通過展示廣告和 Google Chrome 擴展程式傳播而成為頭條新聞。 STRT 在此博客中提供了對 RedLine Stealer 的分析，並開發了相關的分析故事，用於檢測和調查可能與 RedLine Stealer 木馬相關的異常活動。

新興威脅分析案例
CVE-2023-20887 於 6 月初發布，針對影響 VMware Aria Operations for Networks（以前稱為 vRealize Network Insight）的嚴重漏洞。 為了幫助防禦此漏洞，STRT 開發了一個分析案例來檢測符合 CVE-2023-20887 特徵的潛在利用嘗試。

6 月初，在MOVEit Transfer檔案傳輸軟體中發現了一個嚴重的零日漏洞，並被跟蹤為 CVE-2023-34362。 Windows MOVEit Transfer Writing ASPX 檢測在 MOVEit Transfer 應用程式的“wwwroot”目錄中查找創建新的 ASPX 檔，這是指示 MOVEit Transfer 漏洞的活動。

CVE-2023-27350 是 PaperCut NG 列印管理軟體中的身份驗證繞過漏洞，FBI 和 CISA 已就此發佈聯合公告。 STRT 創建了一個博客，重點介紹了有關漏洞的資訊以及相應的分析故事，供防禦者檢測相關的漏洞利用嘗試和已知的入侵跡象。

Snake 植入物是一種高度先進的網路間諜工具，由俄羅斯聯邦安全域 （FSB） 第 16 中心開發和使用，用於對重要目標進行持續情報收集，並已在 50 多個國家/地區被發現。 Splunk 威脅研究團隊利用 ChatGPT 開發原子類比和後續檢測與 Snake 惡意軟體相關的活動。

機器學習檢測
Splunk開發了一種基於深度學習的檢測方法，可以監控您的DNS流量，以尋找低輸送量DNS洩露的跡象。 該檢測的準確率為 99.97%，確保檢測到幾乎所有可疑的 DNS 外泄請求。

大多數機器學習模型會調查最新的 DNS 請求，而不會附加主機和域之間通信歷史記錄的任何有價值的上下文。 我們不考慮較短的時間視窗（對於低輸送量 DNS 外泄來說可能不足），而是考慮過去“x”事件的最近歷史記錄。 深度學習模型不僅可以創建表示當前 DNS 請求的特徵，還可以創建最近事件歷史記錄的聚合特徵。

該模型是使用 Splunk App for Data Science and Data Learning （DSDL） 部署的，您可以在使用深度學習檢測 DNS 數據洩露博客中找到更多詳細資訊，該團隊還記錄了檢測的概述。
 
SOAR 行動手冊
作為本月行動手冊系列的補充，Splunk 團隊展示了行動手冊如何改進您的威脅搜尋和調查方法。 查看博客，瞭解 playbook 如何説明您...

1. 自動搜尋入侵指標。
2. 識別環境中的這些威脅。
3. 瞭解受影響計算機的詳細資訊。
4. 更好地探索受影響的文件系統。
   ________________________________________
   ________________________________________

Splunk 安全內容：第一季度綜述
以下是 2023 年 2 月至 4 月期間開發的所有安全內容的概述。 首席威脅研究員 Michael Haag 還在安全技術講座中概述了 STRT Q1 內容，可在此處查看。

對手 Tradecraft 分析案例
AsyncRAT 是 GitHub 上的一個開源遠端管理工具專案，已成為攻擊者惡意使用的流行工具。 Splunk 威脅研究團隊探索了 AsyncRAT OneNote 活動，以開發 AsyncRAT 分析故事，以檢測和調查可能與惡意軟體相關的異常活動。 通過閱讀此博客或觀看視頻，瞭解有關 AsyncRAT 和 OneNote 活動的詳細資訊。

今年早些時候，Winter Vivern 成為頭條新聞，STRT 開發了一個分析故事來檢查多個超時執行、計劃任務創建、螢幕截圖、通過 PowerShell 下載檔以及與惡意軟體相關的其他活動指標。

Sandworm Tools 分析案例包括專注於監控可疑進程執行、命令行活動、主引導記錄 （MBR） 擦除、數據銷毀以及與 Sandworm Team 威脅組相關的其他指標的檢測。

當網路犯罪分子通過暴力破解、社會工程、網路釣魚和撞庫等技術冒充真實使用者訪問敏感數據或使用被盜資訊訪問組織內的其他帳戶時，就會發生受損使用者帳戶攻擊。 已洩露的用戶帳戶分析情景提供檢測，以監視這些類型的活動和技術。

Splunk 威脅研究團隊撰寫了一篇博客，描述了常見的數位證書濫用行為，並開發了 Windows 證書服務分析案例，用於檢測 Windows 上的證書服務濫用情況並防禦攻擊者竊取敏感資訊。 觀看下面的視頻，詳細瞭解如何防範證書服務濫用。

偷偷摸摸的 Active Directory 持久性技巧是即使在 Sean Metcalf 在博客中最初描述八年後仍在使用的技術 。 這些技術濫用了合法的管理功能。

STRT 開發的相應分析故事對原始博客中描述的技術以及其他針對Active Directory網路的高影響攻擊的檢測進行了分組。 該團隊要感謝 Dean Luxton 和 Steven Dick 為這個分析故事貢獻了檢測。

BishopFox Sliver 是一個開源的對手模擬框架，越來越多地被對手用於惡意活動。 STRT 開發了一個分析故事，以提供與 Sliver 相關的最新對手 TTP 的可見性。

勒索軟體分析案例
SwiftSlicer 擦除器是 ESET 發現的一種破壞性惡意軟體。 Splunk 威脅研究團隊 （STRT） 開發了一個分析案例，以幫助檢測和調查可能與惡意軟體相關的異常活動。 該團隊還寫了一篇博客，重點介紹了該團隊的分析、檢測和緩解措施。

AwfulShred 是一個惡意的 linux shell 腳本，旨在損壞或擦除 linux 目標系統。 STRT在以下方面提供了有關這種破壞性有效載荷的調查結果：

1. 威脅更新博客
2. 一個分析故事，用於搜索與惡意軟體相關的異常活動，包括擦除檔、進程終止、通過系統請求重新啟動系統、粉碎和服務停止

新興威脅分析案例
Fortinet 發佈了其 FortiNAC 產品的安全更新，以解決可能允許未經身份驗證的攻擊者在系統上寫入任意檔並因此在 root 使用者 （Horizon3.ai） 上下文中獲取遠端代碼執行的關鍵漏洞。 STRT 開發了分析案例 Fortinet FortiNAC CVE-2022-39952，以幫助防禦這一關鍵漏洞。

CVE-2023-21716 是 Microsoft Word 於 2 月發佈的一個遠端代碼執行漏洞。 STRT 開發的分析故事提供了內容，以幫助組織識別端點上潛在的 RTF（富文本檔）RCE 濫用。

發佈了 CVE-2023-23397 補丁 ，以解決影響 Microsoft Outlook for Windows 的關鍵特權提升 （EoP） 漏洞。 來自 STRT 的檢測有助於識別與此漏洞相關的行為。

ESET在3月份報告了第一個在完全更新的UEFI系統上繞過UEFI安全啟動的野外UEFI引導套件，稱為BlackLotus 。 STRT 開發了內容來幫助團隊檢測可疑的引導載入程式並瞭解 BlackLotus 活動使用的各種技術。

3 月份，有報導稱，針對 3CX 軟體及其客戶的主動入侵活動。 STRT創建了一個博客，重點介紹信息和相應的分析故事，為捍衛者提供必要的工具和策略來對抗這場運動。

機器學習檢測
Splunk Machine Learning for Security 團隊上個季度開發了兩項新的檢測方法。這兩項檢測都使用通過 Splunk App for Data Science and Deep Learning 開發的預訓練深度學習模型。這兩個檢測是：

1. 檢測可疑的 DNS TXT 記錄。
2. 預測行程名稱是否可疑，以幫助檢測惡意字元序列。

通過觀看我們的點播技術講座，瞭解有關后一種檢測的更多資訊。

Splunk SOAR 擴充回應包
Splunk很高興地宣佈推出一系列針對不同用例的回應包中的第一個，其中第一個專注於擴充。 這些新的回應包具有模組化的、類似樂高的劇本，可根據您所需的用途在不同的層級上運行。 此外，我們還開始將我們的 playbook 映射到 MITRE D3FEND 技術（如果適用）。

此包中的三個集合是：

1. 標識符信譽分析 （D3FEND）
2. 屬性查找
3. 相關票據搜索

您可以選擇在自己的用例中使用基於連接器的輸入 playbook，也可以選擇使用動態 playbook，以自動檢測專案、將其路由到輸入 playbook 並完成工作簿任務。 以下是 10 個新劇本的完整清單：

基於任務的 playbook：

1. 標識符信譽分析調度
2. 屬性查找調度
3. 相關工單搜索調度

輸入/輸出 playbook：

1. VirusTotal v3 標識符信譽分析
2. PhishTank URL 信譽分析
3. AD LDAP 屬性查找
4. Azure AD 屬性查找
5. Crowdstrike 屬性查找
6. ServiceNow 相關工單搜索
7. Splunk值得注意的相關票務搜索

如果您在 SOAR 6.0 及更高版本上運行社區存儲庫，則會顯示這些 playbook。 請務必查看我們最近關於標識符信譽分析的博客，並留意新的博客和視頻，重點介紹這些手冊在未來幾個月的工作方式。

來自Splunk威脅研究團隊的更多資源
除了上面提供的安全內容外，Splunk 威脅研究團隊還開發了與惡意驅動程式相關的內容。

1. 這些是您正在尋找的驅動程式： 檢測和防止惡意驅動程式是一篇博客文章，概述了易受攻擊的陸地驅動程式 （LOLDrivers） 的已知詳細資訊、模擬對手貿易的指南以及緩解驅動程式相關威脅的策略。
2. 團隊成員還參與了 LOLDrivers 專案的開發，該專案提供了野外易受攻擊和惡意驅動程式的最新清單。 在 SURGe Coffee Talk 對首席威脅研究員 Michael Haag 的採訪或此 Windows 驅動程式演示視頻中了解有關 LOLDrivers 的更多資訊：

第四季度內容綜述
以下是 2022 年 11 月至 2023 年 1 月期間開發的所有安全內容的概述。 高級威脅研究員 Michael Haag 還在安全技術講座中概述了 STRT Q4 內容，可在此處查看。

對手 Tradecraft 分析案例
上個季度，該團隊為 Windows 開發後分析故事開發了額外的檢測。 這些檢測可識別各種 Windows 攻擊後工具，特別是與 WinPEAS（本地 Windows 許可權升級腳本）相關的工具，這些工具通常用於跨 Windows 終結點獲取許可權和持久性。

網路犯罪分子和道德駭客都利用Metasploit框架進行滲透測試，以識別網路和伺服器上的系統性漏洞。 它已成為攻擊者發現網路漏洞並加以利用的流行後利用工具，因此 STRT 開發了一個分析故事，其中包含檢測功能，以搜索歸因於 Metasploit 的預設配置和與 Metasploit 相關的行為。

2022年底，CISA 在觀察到伊朗政府支援的威脅行為者涉嫌高級持續威脅 （APT） 活動后發佈了網路安全公告，這些威脅行為者利用了未修補的 VMware Horizon 伺服器中的 Log4Shell 漏洞，並橫向移動以繼續其目標。 CISA AA22-320A 分析故事提供了用於識別 CISA 公告中概述的 TTP 的檢測。

STRT 發佈了一個分析故事，其中包含一套產品，從 Ngrok 開始，這些產品被歸類為反向網路代理。 這些實用程式允許攻擊者創建安全隧道，以連接到位於防火牆後面或沒有公共IP的本地電腦上的伺服器。 特別是 Ngrok 已被威脅行為者在多個活動中利用，包括用於橫向行動和數據洩露。

為了應對 2022 年上半年報告的帳戶接管攻擊增加了 131%，STRT 開發了一個用於檢測 GCP 帳戶接管的分析故事，以及一個博客，其中包含用於檢測 Azure Active Directory 和 AWS 中的雲帳戶接管以及 Google Cloud 的更多詳細資訊。

針對 Microsoft 的一份報告，該報告指出攻擊者越來越多地利用 Internet Information Services （IIS） 模組，STRT 開發了 IIS元件分析故事，並在博客“神奇的 IIS 模組以及如何找到它們中提供了更多詳細資訊，以幫助防禦者識別 IIS Web 伺服器上的可疑和惡意行為。

勒索軟體分析案例
毫不奇怪，STRT 一直在監控和開發與勒索軟體相關的不斷變化的威脅的檢測。 在第四季度，該團隊專注於為三個特定的勒索軟體組織開發安全內容：LockBit、Prestige 和 Chaos。

自 2019 年以來，LockBit 經常成為頭條新聞，針對各種規模的多個行業和組織。 STRT 最近在LockBit 分析故事中添加了新的檢測，重點關注在有關LockBit的勒索軟體調查中發現的常見交易技巧。

混沌勒索軟體最近在 2021 年出現，被發現是 Ryuk 勒索軟體的 .NET 版本，但仔細觀察，該惡意軟體樣本顯示它與臭名昭著的 RYUK 勒索軟體沒有太大關係。 STRT 編寫了新內容，並將先前的內容附加到勒索軟體分析案例中，以幫助防禦者識別此變體和其他勒索軟體變體。

作為正在進行的俄烏戰爭的一部分，觀察到針對運輸和物流行業的 Prestige 勒索軟體，其部署技術類似於 CaddyWiper 和 HermeticWiper。 閱讀 Prestige 勒索軟體分析案例，瞭解如何使用 Splunk 抵禦此威脅。

新興威脅分析案例
2022年底，CVE-2022-42889（Text4Shell）和 CVE-2022-40684 （Fortinet 設備身份驗證繞過） 發佈，均被評為嚴重性。 Splunk 威脅研究團隊為每個案例開發了分析案例。

Text4Shell CVE-2022-42889 是 Apache Commons Text Library 中的一個嚴重漏洞。 Apache Commons Text 是一個 Java 庫，被描述為“一個專注於處理字符串的演算法的庫”，可以被認為是一個通用的文本操作工具包。 此漏洞會影響 Commons Text 庫中包含的 StringSubstitutor 插值器類。 默認插值器允許字串查找，這可能導致遠端代碼執行，因為邏輯缺陷使腳本、DNS 和 URL 搜尋鍵預設插值。 這些金鑰允許攻擊者通過查找執行任意代碼。

Fortinet 設備身份驗證繞過 CVE-2022-40684 是在 Fortinet 修補其 FortiOS、FortiProxy 和 FortiSwitchManager 專案中的關鍵身份驗證繞過漏洞后發佈的。 FortiOS 公開了一個管理 Web 門戶，允許使用者配置系統。 此外，用戶可以通過 SSH 連接到系統，從而公開鎖定的 CLI 介面。 對系統管理介面的任何符合上述條件的 HTTP 請求都應引起關注。 攻擊者可以利用此漏洞對易受攻擊的系統執行任何操作。 這包括更改網路配置、添加新用戶和啟動數據包捕獲。
 
來自Splunk威脅研究的更多資源
除了上面提供的分析故事和博客外，Splunk 威脅研究團隊在第四季度還撰寫了許多博客，重點介紹了其他威脅以及如何防禦這些威脅：

1. 所有 Proxy（Not）Shell
2. 來自 Registry With Love：惡意軟體註冊表濫用
3. 攻擊範圍 v3.0 簡介
4. CISA 頂級惡意軟體摘要
5. 從宏到無宏：QakBot 的持續惡意軟體改進
6. “Rat”的內心世界 - Agent Tesla Detection and Analysis

Splunk Machine Learning for Security 團隊還開發了一種使用預先訓練的深度學習 （DL） 模型預測 DGA 生成的域的檢測 方法，以幫助客戶使用 DGA 防禦對手。