工作来源
RAID 2021
工作背景
僵尸网络目前已经成为了一个大问题,有多种方式可以清除僵尸网络,如渗透攻入攻击基础设施、ISP 强制下线恶意服务器、DNS 水坑、扣押相关数字资产、逮捕犯罪分子等。清除僵尸网络的核心问题在于:如果僵尸网络没有被完全清除或者其运营人员没有被逮捕起诉,运营人员可能很容易就恢复运营并使其更难以铲除。
此前也有一些典型的案例:
Clayton 检查了来自一家中型英国 ISP 的电子邮件统计数据,以评估 2008 年 McColo 删除对全球垃圾邮件的影响。研究发现在清除行动期间垃圾邮件数量显著减少,但是该 ISP 针对特定类型的垃圾邮件检测方法也不再有效
Dittrich 定性分析了 2009 年至 2011 年间一系列广为人知的僵尸网络清除工作。研究发现,安全从业人员和网络犯罪分子之间的军备竞赛致使僵尸网络清除越来越困难
Nadji 提出了一个清除分析和推荐系统 rza,通过该系统对过去的僵尸网络清除行动进行事后分析,并就如何成功执行未来的僵尸网络提供建议
Dridex
Dridex(也叫 Bugat、Cridex、Drixed 和 Dridexdownloader)是一种银行木马,通常作为钓鱼邮件的附件进行传播,专门用于窃取失陷主机上的银行凭证和其他隐私信息。在 2015 年 8 月至 10 月期间,其中一名僵尸网络运营人员被政府逮捕,且英国 NCA 对 Dridex 的服务器进行了 DNS 水坑。在 2015 年 10 月 9 日至 12 月 8 日期间,执法机构 对 Dridex 进行了第二次 DNS 水坑和清除行动,但没有对外披露具体细节。
Dorkbot
Dorkbot 是通过蠕虫病毒传播再分发其他类型恶意软件的僵尸网络,Dorkbot 会将其 C&C 服务器分散到世界各地。在 2015 年 12 月 3 日左右,世界各国的安全公司和 执法机构 齐心协力铲除了 Dorkbot 僵尸网络。
Dyre 和 Upatre
在主机感染 Upatre 后,它会继续将 Dyre 或者其他恶意软件(如 GameOver Zeus、Kegotip、Locky 和 Dridex 等)安装到这些设备上,Upatre 实际上是一个 Dropper,本研究只关注 Upatre Dropper 的运营。
Dyre(也叫 Dyreza、Dyzap 和 Dyranges)是一种针对 Windows 的复杂金融欺诈木马,样本也具备极高的多态性。在 2015 年 11 月 18 日左右,执法人员在俄罗斯逮捕了 Dyre 的运营人员。
工作设计
想要研究当僵尸网络面临清除行动时,运营人员在策略上是如何应对的。以此来定量评估针对性的清除行动对恶意软件的全球分发有什么影响?研究只分析全局的样本分发行为,并不关注特定攻击行动中的样本分发。
构建图
以哈希、URL、IP 和 FQDN 作为实体,构建关联图。示例如下所示:
文件分类
按照数据集构建的方法标记文件类别为 Malware、PUP、Benign。
为 4.83%(1034763 个)的文件标记为有害(Malware+PUP)
为 2.07%(443541 个)的文件标记为恶意软件(Malware)
为 1.64%(350517 个)的文件标记为良性(Benign)
Dridex、Cridex、Bugat、Drixed、Dridexdownloader -> Dridex
Dorkbot、Ngrbot -> Dorkbot
Upatre -> Upatre
跟踪分发
FSF:相关文件节点集合
PSF:相关父节点集合,父节点可能是托管服务、失陷网站或按安装付费的运营商
CSF:相关子节点集合
ASF:相关节点属性集合,如家族、Dropper/Download 计数、国家、域名等)
网络类指标:用 URL、域名、IP、国家/地区等描述服务器的状态,如与域名相关的 IP 数量提供了对 FastFlux/CDN 这些对抗检测技术的发现;与 IP 相关的域名数量提供了对 DGA 等技术的发现
文件类指标:用样本数、大小分布、周转率等率描述文件的状态,如家族下载计数和家族样本计数等
指标整体如下所示:
工作准备
下载数据
使用赛门铁克提供的匿名下载数据集。数据集包含 2015 年 10 月 1 日至 2016 年 9 月 29 日期间 1200 万赛门铁克产品终端用户的下载数据,包括下载二进制文件的时间、下载来源以及哪个程序启动下载等信息。
< 文件哈希,文件属性(文件名、文件大小、文件信誉和流行度),重定向的初始URL,下载URL,FQDN,服务器IP地址,父文件哈希,父文件URL >
从 2015 年 10 月 1 日起,每周 1 天,在 53 天内总共观察到 8150 万次下载。
过滤去掉赛门铁克认为良性且未被 VirusTotal1 确认为恶意的文件,只保留恶意软件和 PUP
过滤掉无效 IP 地址和异常数据,如没有父文件或者 URL 等
如果按市场份额排名前五的杀软供应商中至少有一个(Avast、AVG、Avira、Microsoft 和 Symantec)检测,并且至少有两个其他杀软将其判定为恶意文件,就认为该文件是恶意的
文件数据
赛门铁克采用静态和动态分析系统来确定二进制文件的恶意性,并估计其在野外的流行程度
通过 VirusTotal 获取检出的杀软引擎数量以及结果标签,利用 AVClass 合并一致的家族标签
NSRL Reference Data Set (RDS) 的 2.67 版数据集提供了关于良性程序的哈希
由于 VirusTotal 有时有可能需要几个月甚至几年才能正确检出在野恶意软件,因此分析在数据集的 3 到 4 年后才进行
工作评估
整体来看,总结如下:
网络类指标
下图显示了聚合网络类指标的趋势变化:
下图显示了规避方式的统计趋势:
Dridex
Dridex 最初在水坑的阶段(10 月 1 日至 3 月 3 日)活动持续增长,水坑结束后先降后升再缓慢下降。考虑到 2015 年已经逮捕起诉了部分运营人员,其他运营人员可能增加了活动频度或者将活动转移到更隐蔽的地方,导致了网络活动的增强。
.com的 URL 和美国部署的服务器使用量显著增加,可能是 Dridex 本就针对美国发起了大量攻击或者为了应对美国的执法行动而蓄意报复其最常用的域名的下载比例也相对较低,攻击者不依赖于某个服务器。从 FQDN 与 e2LD 的比值大约为 1:1 且服务器遍布在 35 个不同的国家/地区也能看出来
Dorkbot
Dorkbot 使用的唯一 URL、域名和 IP 地址相对较少。在清除行动后,Dorkbot 的网络活动急剧下降。但在清除行动前,Dorkbot 的波动就很大,也不能确定是由于清除行动导致的。
Dorkbot 会经常更换使用的 IP 地址,但与 Fast Flux 相比时间更长
Dorkbot 的基础设施分布在世界各地,但很多服务器可能是备用的
Upatre
Upatre 一直在快速增加,直到针对 Dyre 的执法行动被打击开始下降。
倾向于通过
.com进行下载使用雅虎和微软的邮件服务,钓鱼邮件的攻击手段相吻合,如
{region}{integer}.afx.ms和email{integer}.secureserver使用的服务器也分布在各国,如美国、德国和法国和乌克兰
发现了 Upatre 使用的 139 个 DGA 域名,结构为:静态关键字+随机字符串+.ru。这些域名都和同一组 IP 相关,且在清除行动后从电子邮件服务转向使用 DGA 恶意域名。
文件类指标
聚合下载
Dridex 设计用于 Payload 而不是 Dropper,但有部分变种被修改为 Dropper
Upatre 相关的大量样本都是 PUP,且少数 Upatre 样本产生了几乎所有的 Dropper 行为
Dorkbot 的波动本就很大,多达 40% 的样本会产生 9+ 的后续 Payload
关系动态
Dorkbot 主要分发 yakes、teslacrypt 和 bublik,且清除行动对其整体几乎没有影响,可能是只清除了一个子集
Dridex 通常依赖钓鱼邮件和漏洞利用工具包进行分发
Upatre 从依赖少数几个家族转变为依赖多样化的上游 Dropper 网络
分布式分发
Dorkbot 的某些文件与任何 URL 都无关,可能是由恶意进程直接写入文件系统
Dridex 通常至少与一个 IP 或 e2LD 有关,超过一半与两个以上相关。特别的是,多个相关的比例最高出现在清除行动时期,这可能就表明攻击者在清除行动期间在努力恢复运营
Upatre 的对应关系变化很大
多态
Dridex 在 DNS 水坑期间的样本数增加,后续下降
Upatre 在逮捕发生后急剧下降
Dorkbot 对清除行动有较强的抵抗力,几乎每周都会更换全部样本,其恶意性评分也更低
工作思考
作者提出了四点思考:
攻击者大量使用分布式分发基础设施,需要执法机构、安全公司和服务提供商之间紧密沟通协调才能对抗滥用
少数样本与绝大部分下载有关,尽管多态检测始终是挑战,但抓住“主要矛盾”可能会事半功倍
面对清除行动,恶意软件表现出了极大的韧性。也许应该考虑清除以外的方式来帮助遏制,比如严打资金流转等
犯罪分子可能会使用挑衅的方式应对清除,甚至难以预料的行为,安全社区需要加强情报和数据的整合