Botconf 2022 议题速递

原创 Avenger 威胁棱镜

Botconf 2021/22 重新回到线下举办，并且回到了第一届的举办地——法国西海岸的南特。尽管是线下举办，但由于各国的政策要求不一，仍有部分议题的主讲人未能到场进行分享。作为一个在专业领域内比较受认可的会议，本届 Botconf 有来自世界各地的三百多名安全研究人员注册参加。此前，360 Netlab 与绿盟等国内安全公司也有议题在该会议上进行分享，本届也有一个来自阿里云的工作。

下面只挑选部分议题进行介绍，感兴趣的同学可以去官网查看全部议题进一步了解。

PS：Botconf 要求参与会议的人员不要录制视频，只有官方能够录制视频。并且每个主讲人都会对内容做出说明，如果表明是机密信息的情况下，请不要拍照或者对外进行相关内容的讨论。所以在遵守该要求的情况下，在公开议题中选取了部分议题进行简要介绍，完整、详细的内容请查看官网或者联系作者。

监控多个 P2P 僵尸网络的经验见解

来自德国达姆施塔特工业大学、美国马里兰大学和马来西亚理科大学关于监控僵尸网络的研究。研究人员认为监控僵尸网络就像盲人摸象：

P2P 僵尸网络的三个典型模式：非结构化、结构化、寄生。

利用爬虫和传感器构建僵尸网络监控系统，以下是一些系统截图（公众号会对图片进行压缩，原图是非常清晰的）：

该研究监控了 Mozi、Hajime、DDG 等比较大规模的 P2P 僵尸网络，跟踪失陷主机的相关统计信息（如国家、自治系统、地理分布等）。

研究人员通过双队列并行两万个爬虫获取信息。

后续研究人员还会增加对 Bot 生命周期的自动测量、对反监控的措施加以完善等其他功能，该项目也欢迎其他研究人员的合作。

根据通信模式检测利用合法服务进行 C&C 的失陷主机

来自 Akamai 的工作一向扎实。这次内容提到 Akamai 正在努力跟踪发现失陷痕迹，提醒相关用户存在可疑行为。因为很多犯罪分子都会使用合法的 Web 服务来进行攻击。例如 HAMMERTOSS 使用 Twitter、GitHub 和云存储服务进行 C&C 通信。

典型的三类恶意流量模式：Beacon、DGA 与多信道。

研究人员发现，使用功率谱密度（PSD）将时域数据转向频域处理，可能会很有效果。清华在 CCS 2021 上也发表了一篇利用频域分析检测恶意流量的工作《Realtime Robust Malicious Traffic Detection via Frequency Domain Analysis》，利用频域分析可能是有潜力的工作方向，感兴趣的同学可以尝试研究。

正常的设备流量模式与失陷主机的流量模式存在显著差异：

Akamai 使用 DNS 数据来进行检测：

在 Akamai 在应用中发现了许多正常情况下难以发现的恶意攻击，例如 uBlock 恶意插件（仿冒合法广告拦截插件的恶意插件）：

KashmirBlack 僵尸网络的来龙去脉

Imperva 跟踪 PHPUnit 远程代码执行（CVE-2017-9841）漏洞的在野传播，该漏洞影响波及 Drupal、WordPress、PrestaShop 与 Magento 等知名框架。

整体流程如上所示，当然攻击者也利用了很多其他漏洞。

该僵尸网络是根据 GitHub 的仓库名称命名的：

最早从 2016 年该僵尸网络就开始活跃：

早于 VirusTotal 在云上检测恶意软件

来自阿里云与达摩院的工作。依托阿里自己的云安全产品，利用 ssdeep 构建超过一亿文件的关系图。新发现的样本和已知的样本进行比对，升级得到样本标签：

由于样本量很大，工程应用上的优化其实是核心。其中的 tips 如下所示：

方法上也很明晰，和前人做的很多工作一脉相承。例如 Brian Wallace 在 Virus Bulletin 分享过应对大规模样本场景下高性能使用 ssdeep 的方法、Intezer 也分享过类似的工作。这部分在此前的文章中也提到过，可以进一步阅读。本项工作在各处都加以优化，希望在海量样本场景下提供更好的应用性能。

狩猎样本可用的哈希函数介绍
Avenger，公众号：威胁棱镜狩猎样本的哈希游戏

有线索的情况下可以直接在图里查询，没有线索的情况下可以看聚类的情况。

例如 21.1 万个 XorDDoS 样本，Avira 引擎能够检出 15.3 万，总有一些样本在 ViursTotal 上是不能被检出的，就可以通过这种方法发现。

从大视角来看，勒索软件聚类：

挖矿软件聚类：

Mirai 聚类：

Agent Tesla 聚类：

最后，研究人员指出，该方法并不局限于使用 ssdeep，其他算法也可以使用，原理是共通的。

PS：这个报告因为超时一直被催促，比较遗憾最后由于时间原因取消了提问环节。

恶意软件市场中私密论坛的形态研究

研究人员从 2020 年 6 月 1 日到 2021 年 2 月 10 日，跟踪了一个超过六万成员、100 万帖子的私密论坛和一个超过 18.5 万成员、34.5 万帖子的公开论坛。公开论坛中有 86 个恶意软件提供方、私密论坛中有 136 个恶意软件提供方。

恶意软件中，控制类恶意软件占据了半壁江山。

控制类恶意软件中，私密论坛上近四分之三都是远控：

窃密类恶意软件中，私密论坛百花齐放，各种类型的窃密恶意软件都有一席之地。

从目标上看，移动端仍然只是一小部分，计算机终端还是主流。

恶意软件价格跨度极大，从免费到一万美元以上都有。

Qbot 进化之路

从 2007 年开始，Qbot 就持续活跃，是目前最活跃的恶意软件之一。

研究人员分析了 Qbot 近十年的进化之路。

内容十分硬核，本届 Botconf 其实还有一个议题是讲 Qbot 的《Behind The Scenes Of Qbot》，但该议题是 Amber 的，也没有对外放 PPT，就不做表述了。

十五年来高级攻击者对气隙网络的觊觎

ESET 梳理了过往 15 年中 17 个针对气隙网络进行攻击的案例，发现攻击的一些特点，例如所有的恶意软件框架都使用 USB 设备作为物理介质将数据摆渡出目标网络中。

去年 ESET 披露的白皮书已经讲了很多，感兴趣可以参考查看。

ESET 分析白皮书
https://www.welivesecurity.com/wp-content/uploads/2021/12/eset_jumping_the_air_gap_wp.pdf

ESET 博客内容
https://www.welivesecurity.com/2021/12/01/jumping-air-gap-15-years-nation-state-effort/

安天此前也对外分享过关于《高级威胁组织渗透隔离网络能力与年度案例》，感兴趣可以自行查阅。

针对赌博行业攻击的犯罪团伙

趋势科技的研究人员发现了一个专门攻击赌博网站的 APT 组织 GamblingPuppet。该组织全平台通吃，Windows、Linux 和 macOS 都不放过。

该攻击组织被认为是一个说中文的团伙，使用了 PlugX、Gh0st RAT 等被认为是与中文攻击者有关的恶意软件，从很多攻击基础设施的命名中也可以发现（实在是太脏，打了码 ... ...）。

趋势科技也在陆续披露相关研究内容，六月末在 FIRST 2022 上也要讲这一议题。

趋势科技博客内容
https://www.trendmicro.com/en_hk/research/22/d/new-apt-group-earth-berberoka-targets-gambling-websites-with-old.html

期望 Yara 性能再提升

Yara 目前在分析应用中已经越来越普及，当样本量一大，性能又会变成问题。Avast 的研究人员举了一个例子，一个耗时 45 分钟的 Yara 规则优化后甚至可以提升至 3 秒钟，不好的 Yara 规则对系统资源的占用是巨大的。

Avast 在 Yara 上下了许多功夫，例如开发了将 Yara 规则解析为 AST 的工具 yaramod。还改进了字符串的模式匹配方案，比特币地址匹配可以提速十倍，普通场景下也能提升超过四分之一，这个 PR 日后应该也会被合并进来。

为了提高效率，尽可能快地得到匹配结果，在性能上有一些需要注意的问题。例如：

尽量不要使用正则表达式，消耗大量内存而且拖慢性能
必须要使用正则表达式，避免使用贪婪匹配，且尽量确定匹配上限
元数据也占内存，如果内存并不宽裕，尽量缩减元数据

比较完整的表述可以查看 Neo23x0 大神的文章作为参考。笔者以前翻过旧版本的没有发，日后应该也会把更新过的版本翻出来发在公众号上，着急的同学则可以自行查看原文。

Yara 性能指南
https://github.com/Neo23x0/YARA-Performance-Guidelines/

PS：Twitter 上今年年初开启了一个名为 `#100DaysofYARA` 的话题，本来进行的如火如荼，可惜俄乌冲突后大家都无心看这个了，后续应该也会整理一下这个话题有什么值得分享的内容。

水坑 RTM 僵尸网络

Group-IB 针对 RTM 僵尸网络的分析与水坑方式的介绍。RTM 僵尸网络的攻击概览如下：

攻击者甚至把 C&C 服务器的地址藏在了比特币交易里：

研究人员仍然通过极其精巧的方式进行了水坑：

持续跟踪了受害者的情况，为执法机关的处置提供了依据：

继续滑动看下一个