工作来源
IMC 2022
工作设计
分析方式
利用 CnCHunter 以两种模式分析恶意样本文件:
使用 QEMU 模拟执行,确定使用的 C&C 服务器。本研究专注于 MIPS 架构下 32 位可执行文件,能够以九成的精度检测 C&C 服务器
使用武器化的二进制文件探测特定的 IP 端口,以此识别 C&C 服务器
使用 InetSim 模拟 DNS、HTTP 等网络服务,避免因网络不可用而导致执行失败。
分析 C&C 服务器
去掉 P2P 的恶意样本,将剩下的样本在沙盒中运行查找 C&C 服务器。针对获取的 C&C 服务器地址,再通过 VirusTotal 判断是否为恶意进行交叉验证。
发现二进制文件那天查询一次 VirusTotal,2022 年 5 月 7 日再次查询。如果一个 C&C 服务器只在第二次查询时被判断为恶意,则认为未命中。两次查询都未知的,手动与 Miari、Gafgyt、Tsunami 与 Daddyl33t 的 C&C 流量进行比较。
受限于发现样本的延迟,C&C 服务器可能已经失效。所以针对子网的特定端口(1312、666、1791、9506、606、6738、5555、1014、3074、6969、42516、81)进行主动探测,每次探测的时间间隔为 4 小时。
分析漏洞利用
首先确定恶意软件用于扫描与攻击的端口服务,根据样本通联不同 IP 数量超过阈值(20)来判断。接着在该端口上创建一个套接字,重定向流量到本地端口获取下一个 IP 地址。使恶意软件与虚假目标完成握手连接,收集恶意软件发送的 Payload。据此,成功从 197 个样本中提取了针对 12 个漏洞的攻击行为。
分析 DDoS 攻击
让能够联系上 C&C 服务器的恶意样本在受限模式(只允许 C&C 流量)下运行 2 小时,使用两种方式发现 DDoS 命令:
利用已知的 Mirai、Gafgyt 与 Daddyl33t 的 C&C 协议,直接捕获 DDoS 命令。其中,Mirai 是二进制协议、Gafgyt 与 Daddyl33t 是文本协议。
通过计算发送到非 C&C 服务器 IP 地址的数据包数量以及每秒数据包的速率,超过阈值(100 包/秒)的话最后一个 C&C 命令就会被视为 DDoS 命令。
对收集的流量进行手动复核,一共发现下发了 42 个命令。
工作准备
2021 年 3 月至 2022 年 3 月,利用 VirusTotal 与 MalwareBazaar 收集了 1447 个恶意样本文件,分别属于七个恶意软件家族(Mirai、Gafgyt、Tsunami、Daddyl33t、VPNFilter、Mozi、Hajime)。
恶意软件家族名使用 AVClass 进行合并,但存在问题是会将 Mozi 分类为 Mirai。因此,也使用了 Yara 规则来进行辅助分类。
形成如下五类数据集:
在伦理上也做了充分的考虑,没有人会因为分析研究而受到伤害:
C&C 检测时并不需要真的连接互联网
漏洞攻击的受害者是模拟的,不会产生实际的攻击
DDoS 流量都被过滤掉
探测子网时也只允许 C&C 通信
工作评估
C&C 服务器部署
一年内,C&C 服务器出现在 128 个自治系统中。其中,10 个自治系统相关的 C&C 服务器占比超过 69.7%,如下所示。
60% 的自治系统会持续出现,如下为 10 个最常见的 C&C 服务器的生命周期:
IP SERVER LLC (AS-44812) 和 Aperion Global (AS-13988) 在最后四周内变得更加活跃。这些服务提供商中 70% 都在美国、俄罗斯与荷兰,30% 接受加密货币支付。
通常来说,下载的服务器与 C&C 的服务器是一致的。漏洞利用中下载的 47 个地址中,只有 12 个不是 C&C 服务器。
C&C 服务器生命周期
60% 的样本都在发现样本的那天请求了失效的 C&C 服务器,这可能与共享文件的延迟有关。80% 的生命周期不到一天,平均为 4 天。
有域名的 C&C 地址也是类似的,如下所示:
没有任何 C&C 服务器在一天内完整响应六次探测,91% 的 C&C 服务器在成功探测四小时后不会响应第⼆次探测。
威胁情报有效性
60% 的 C&C 服务器与不止一个二进制文件存在关联。如下所示,40% 的 C&C 服务器与单个二进制文件有关,20% 的 C&C 服务器与超过 10 个二进制文件有关。
有域名的 C&C 地址也是类似的,如下所示:
发现二进制文件的当天,15% 的 C&C 服务器没有在威胁情报列表中出现。与恶意 IP 相比,恶意域名的检测迟滞性更差。
很多威胁情报厂商甚至连已知 C&C 都检测不到,只有 25% 的已知 C&C 服务器被一个以上的厂商检出。聚合多来源数据的黑名单需要考虑,避免增加误报。
针对厂商进行了咨询,但是只有少数厂商做出了回应。但从数据上来说,有 44 个引擎将数据集中至少一个 C&C 地址检出,另外 45 个引擎没有检出任何 C&C 地址。能检出至少 20% 的 C&C 地址的 TOP 20 厂商如下所示:
漏洞利用情况
利用了 14 个不同的漏洞,平均存在年限为 3 年,如下所示。其中 9 个存在时间都超过了 4 年。即便是最新的漏洞,也存在了 5 个月。这些漏洞中,只有三个漏洞厂商提供了补丁,五个漏洞能够通过防火墙来提供防护,两个漏洞只能同通过更换设备来缓解。
NVD、EDB 和 OPENVA 都不可能穷尽所有的漏洞利用,需要全面考虑所有的数据来源保证更好的覆盖度。
有四个漏洞被攻击者持续大量使用,其余漏洞的使用强度较低。
下载的程序文件名也都是类似的:
DDoS 攻击情况
通过对 C&C 流量的监控,捕获了位于 6 个国家/地区的 17 个 C&C 服务器发出的 42 次 DDoS 攻击指令。发起攻击的 C&C 服务器通常具有更长的生命周期,平均为 10 天。
攻击者总共使用了 8 种类型的 DDoS 攻击,其中两种是针对游戏服务器的。如下为各个家族的攻击类型统计:
具体每种类型的攻击,在此不过多赘述,感兴趣的可以检索相关内容或者阅读原文。
从大类上来说,74% 流量都是与 UDP 协议相关。而且,大约 25% 的攻击目标会被两种不同类型的攻击进行攻击。
攻击目标所在的自治系统中,45% 是 ISP、36% 是托管服务提供商。其余是针对企业的攻击,如谷歌、亚马逊与 Roblox。这与此前的研究也是一致的,而且 18% 的自治系统是游戏行业相关的。
工作思考
研究人员认为这些样本是具有代表性的,但受限于数据视野,这种程度的测量可能与庞大的恶意软件生态仍然存在巨大的鸿沟。不过,构建类似的恶意软件分析流水线是十分有必要的。
声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。