Botconf 2021/22 重新回到线下举办,并且回到了第一届的举办地——法国西海岸的南特。尽管是线下举办,但由于各国的政策要求不一,仍有部分议题的主讲人未能到场进行分享。作为一个在专业领域内比较受认可的会议,本届 Botconf 有来自世界各地的三百多名安全研究人员注册参加。此前,360 Netlab 与绿盟等国内安全公司也有议题在该会议上进行分享,本届也有一个来自阿里云的工作。
下面只挑选部分议题进行介绍,感兴趣的同学可以去官网查看全部议题进一步了解。
PS:Botconf 要求参与会议的人员不要录制视频,只有官方能够录制视频。并且每个主讲人都会对内容做出说明,如果表明是机密信息的情况下,请不要拍照或者对外进行相关内容的讨论。所以在遵守该要求的情况下,在公开议题中选取了部分议题进行简要介绍,完整、详细的内容请查看官网或者联系作者。监控多个 P2P 僵尸网络的经验见解
来自德国达姆施塔特工业大学、美国马里兰大学和马来西亚理科大学关于监控僵尸网络的研究。研究人员认为监控僵尸网络就像盲人摸象:
P2P 僵尸网络的三个典型模式:非结构化、结构化、寄生。
利用爬虫和传感器构建僵尸网络监控系统,以下是一些系统截图(公众号会对图片进行压缩,原图是非常清晰的):该研究监控了 Mozi、Hajime、DDG 等比较大规模的 P2P 僵尸网络,跟踪失陷主机的相关统计信息(如国家、自治系统、地理分布等)。研究人员通过双队列并行两万个爬虫获取信息。
后续研究人员还会增加对 Bot 生命周期的自动测量、对反监控的措施加以完善等其他功能,该项目也欢迎其他研究人员的合作。根据通信模式检测利用合法服务进行 C&C 的失陷主机
来自 Akamai 的工作一向扎实。这次内容提到 Akamai 正在努力跟踪发现失陷痕迹,提醒相关用户存在可疑行为。因为很多犯罪分子都会使用合法的 Web 服务来进行攻击。例如 HAMMERTOSS 使用 Twitter、GitHub 和云存储服务进行 C&C 通信。
典型的三类恶意流量模式:Beacon、DGA 与多信道。
研究人员发现,使用功率谱密度(PSD)将时域数据转向频域处理,可能会很有效果。清华在 CCS 2021 上也发表了一篇利用频域分析检测恶意流量的工作《Realtime Robust Malicious Traffic Detection via Frequency Domain Analysis》,利用频域分析可能是有潜力的工作方向,感兴趣的同学可以尝试研究。正常的设备流量模式与失陷主机的流量模式存在显著差异:在 Akamai 在应用中发现了许多正常情况下难以发现的恶意攻击,例如 uBlock 恶意插件(仿冒合法广告拦截插件的恶意插件):KashmirBlack 僵尸网络的来龙去脉
Imperva 跟踪 PHPUnit 远程代码执行(CVE-2017-9841)漏洞的在野传播,该漏洞影响波及 Drupal、WordPress、PrestaShop 与 Magento 等知名框架。
整体流程如上所示,当然攻击者也利用了很多其他漏洞。该僵尸网络是根据 GitHub 的仓库名称命名的:早于 VirusTotal 在云上检测恶意软件
来自阿里云与达摩院的工作。依托阿里自己的云安全产品,利用 ssdeep 构建超过一亿文件的关系图。新发现的样本和已知的样本进行比对,升级得到样本标签:
由于样本量很大,工程应用上的优化其实是核心。其中的 tips 如下所示:方法上也很明晰,和前人做的很多工作一脉相承。例如 Brian Wallace 在 Virus Bulletin 分享过应对大规模样本场景下高性能使用 ssdeep 的方法、Intezer 也分享过类似的工作。这部分在此前的文章中也提到过,可以进一步阅读。本项工作在各处都加以优化,希望在海量样本场景下提供更好的应用性能。
有线索的情况下可以直接在图里查询,没有线索的情况下可以看聚类的情况。例如 21.1 万个 XorDDoS 样本,Avira 引擎能够检出 15.3 万,总有一些样本在 ViursTotal 上是不能被检出的,就可以通过这种方法发现。
最后,研究人员指出,该方法并不局限于使用 ssdeep,其他算法也可以使用,原理是共通的。PS:这个报告因为超时一直被催促,比较遗憾最后由于时间原因取消了提问环节。恶意软件市场中私密论坛的形态研究
研究人员从 2020 年 6 月 1 日到 2021 年 2 月 10 日,跟踪了一个超过六万成员、100 万帖子的私密论坛和一个超过 18.5 万成员、34.5 万帖子的公开论坛。公开论坛中有 86 个恶意软件提供方、私密论坛中有 136 个恶意软件提供方。
恶意软件中,控制类恶意软件占据了半壁江山。
窃密类恶意软件中,私密论坛百花齐放,各种类型的窃密恶意软件都有一席之地。从目标上看,移动端仍然只是一小部分,计算机终端还是主流。Qbot 进化之路
从 2007 年开始,Qbot 就持续活跃,是目前最活跃的恶意软件之一。
内容十分硬核,本届 Botconf 其实还有一个议题是讲 Qbot 的《Behind The Scenes Of Qbot》,但该议题是 Amber 的,也没有对外放 PPT,就不做表述了。十五年来高级攻击者对气隙网络的觊觎
ESET 梳理了过往 15 年中 17 个针对气隙网络进行攻击的案例,发现攻击的一些特点,例如所有的恶意软件框架都使用 USB 设备作为物理介质将数据摆渡出目标网络中。去年 ESET 披露的白皮书已经讲了很多,感兴趣可以参考查看。https://www.welivesecurity.com/wp-content/uploads/2021/12/eset_jumping_the_air_gap_wp.pdf
https://www.welivesecurity.com/2021/12/01/jumping-air-gap-15-years-nation-state-effort/
安天此前也对外分享过关于《高级威胁组织渗透隔离网络能力与年度案例》,感兴趣可以自行查阅。针对赌博行业攻击的犯罪团伙
趋势科技的研究人员发现了一个专门攻击赌博网站的 APT 组织 GamblingPuppet。该组织全平台通吃,Windows、Linux 和 macOS 都不放过。
该攻击组织被认为是一个说中文的团伙,使用了 PlugX、Gh0st RAT 等被认为是与中文攻击者有关的恶意软件,从很多攻击基础设施的命名中也可以发现(实在是太脏,打了码 ... ...)。趋势科技也在陆续披露相关研究内容,六月末在 FIRST 2022 上也要讲这一议题。https://www.trendmicro.com/en_hk/research/22/d/new-apt-group-earth-berberoka-targets-gambling-websites-with-old.html
期望 Yara 性能再提升
Yara 目前在分析应用中已经越来越普及,当样本量一大,性能又会变成问题。Avast 的研究人员举了一个例子,一个耗时 45 分钟的 Yara 规则优化后甚至可以提升至 3 秒钟,不好的 Yara 规则对系统资源的占用是巨大的。
Avast 在 Yara 上下了许多功夫,例如开发了将 Yara 规则解析为 AST 的工具 yaramod。还改进了字符串的模式匹配方案,比特币地址匹配可以提速十倍,普通场景下也能提升超过四分之一,这个 PR 日后应该也会被合并进来。
为了提高效率,尽可能快地得到匹配结果,在性能上有一些需要注意的问题。例如:比较完整的表述可以查看 Neo23x0 大神的文章作为参考。笔者以前翻过旧版本的没有发,日后应该也会把更新过的版本翻出来发在公众号上,着急的同学则可以自行查看原文。https://github.com/Neo23x0/YARA-Performance-Guidelines/
PS:Twitter 上今年年初开启了一个名为 #100DaysofYARA
的话题,本来进行的如火如荼,可惜俄乌冲突后大家都无心看这个了,后续应该也会整理一下这个话题有什么值得分享的内容。
水坑 RTM 僵尸网络
Group-IB 针对 RTM 僵尸网络的分析与水坑方式的介绍。RTM 僵尸网络的攻击概览如下:
攻击者甚至把 C&C 服务器的地址藏在了比特币交易里:持续跟踪了受害者的情况,为执法机关的处置提供了依据: