1. 软市首页
  2. 行业观察

[ 络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析

行业观察

下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
资源下载地址:

文章目录

  • 一.前言
  • 二.恶意代码攻击溯源的相关研究
    • 1.恶意代码溯源
    • 2.追踪溯源案例
  • 三.学术界恶意代码溯源
    • 1.特征提取
    • 2.特征预处理
    • 3.相似性计算
    • 4.同源判定
  • 四.产业界恶意代码溯源
    • 1.恶意攻击流程及溯源方法
    • 2.域名/IP
    • 3.入侵日志
    • 4.全流量分析
    • 5.同源分析
    • 6.攻击模型
  • 五.总结

前文欣赏:
[渗透&攻防] 一.从数据库原理学习 络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色 络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

一.前言

近年来, 络安全事件和恶意代码攻击层出不穷,它们给国家、 会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸 络(Botnet)的攻击、勒索病毒WannaCry、高级可持续威胁(APT)攻击、利用远程控制木马的信息窃取等。

下图展示了APT组织Lazarus(APT38)的重大攻击时间线。如果某次攻击发生时或发生前,我们能够追踪溯源到是某个组织发起的,那是不是就能有效避免一次安全攻击呢br> 强推这篇文章:APT组织Lazarus的攻击历程 – Freebuf深信服团队

为了进一步震慑黑客组织与 络犯罪活动,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是:

  • 家族溯源: 家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意代码,针对变体的家族溯源是通过提取其特征数据及代码片段,分析它们与已知样本的同源关系,进而推测可疑恶意样本的家族。例如,Kinable等人提取恶意代码的系统调用图,采用图匹配的方式比较恶意代码的相似性,识别出同源样本,进行家族分类。

络追踪溯源常用工具包括:磁盘和数据捕获工具、文件查看器、文件分析工具、注册表分析工具、互联 分析工具、电子邮件分析工具、移动设备分析工具、 络流量取证工具、数据库取证工具等。

从第二张照片中分析出:油井的直接。

从第四张照片中分析出:马家窑离火车站不远。

从工作 告中分析出:大庆油田的产油量。同时,从王进喜所站的钻井与背后油田间的距离和井架密度,推断出油田的大致储量和产量。

然后优先选取Blocks数较多、匹配指令数较多的函数。

可以重点挑选一些加密算法代码作为特征码,这样比较没那么容易误 。除此之外,也可以使用一些自动化提取yara规则的工具可以使用,比如yargen:https://github.com/Neo23x0/yarGen。

在VT搜索框中,输入:content:”{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}”,就能筛选出所有具有这个代码片段的样本,直到今年7月份,都还有相关的样本活跃。

将yara规则添加到hunting中,一旦VT捕获到新的样本符合这条规则,就会立刻通知我们。

1.特征提取

特征提取是溯源分析过程的基础,具有同源性的恶意代码是通过它们的共有特征与其他代码区分开来的。所提取的特征既要反映出恶意代码的本质和具有同源性恶意代码之间的相似性,又要满足提取的有效性。

2.特征预处理

特征提取过程中会遇到不具有代表性、不能量化的原始特征,特征预处理针对这一问题进行解决,以提取出适用于相似性计算的代表性特征。特征预处理一方面对初始特征进行预处理,另一方面为相似性计算提供基础数据。常见的特征类型包括序列特征和代码结构特征。

序列特征预处理: 包括信息熵评估、正则表达式转换、N-grams序列、序列向量化、权重量化法等,序列特征预处理会将初始特征中冗余特征消除、特征语义表达式增强、特征量化等以便于进行相似性计算。L. Wu通过分析恶意软件敏感API操作以及事件等,将API序列特征转换为正则表达式,并在发生类似的正则表达式模式时检测恶意代码。IBM研究小组先将N-gram方法应用于恶意软件分析中,使用N-gram的统计属性预测给定序列中下个子序列,从而进行相似度计算。Kolosnjaji等提出对API调用序列进行N-gram处理获取子序列,采用N-gram方法将API调用序列转换为N-gram序列,实现过程下图所示。

Faruki等提出了采用SDhash相似性散列技术构建样本的签名序列,并采用汉明距离法对序列进行相似性计算,从而识别同源性样本。Suarez-Tangil 等用数据挖掘算法中向量空间模型展示家族的恶意代码特征形式,将同家族提取出来的具有代表性的CFG元素作为特征中维度,采用余弦算法对不同家族的向量空间模型进行相似度计算,根据余弦值来判断它们的相似性,从而识别出相似性样本,进而归属到对应的家族。用于比较向量的余弦相似度反映了恶意代码间的相似性,其具体公式如公式所示。

四.产业界恶意代码溯源

产业界与学术界溯源方法的差异主要表现在特征提取和同源判定两个方面:在特征提取上,产业界更倾向于从代码结构、攻击链中提取相似性特征;在同源判定上,除了采用与已有的历史样本进行相似度聚类分析之外,产业界还会采用一些关联性分析方法。相比学术界溯源特征,产业界溯源特征更加详细全面,信息复杂度大。因此,学术界的同源判定方法并不能完全用于产业界各类特征的相似性分析中,常见产业界溯源方法分类如下表所示。

  • Reconnaissance:侦查,充分的 会工程学了解目标。
  • Weaponization:定向攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件。
  • Delivery:把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具,包括邮件附件、 站(挂马)、USB等移动存储。
  • Exploitation:攻击代码在目标系统触发,利用目标系统的应用或操作系统漏洞控制目标。
  • Installation:远程控制程序的安装。使得攻击者可以长期潜伏在目标系统中。
  • Command and Control (C2) :被攻破的主机一般会与互联 控制器服务器建立一个C2信道,即与C2服务器建立连接。
  • Actions on Objectives:经过前面六个过程,攻击者后面主要的行为包括:偷取目标系统的信息,破坏信息的完整性及可用性等。进一步以控制的机器为跳转攻击其它机器,扩大战果。

追踪溯源方法
恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题:

  • 谁发动的攻击/li>
  • 攻击背景是什么/li>
  • 攻击的意图是什么/li>
  • 谁编写的样本/li>
  • 样本使用了哪些攻击技术/li>
  • 攻击过程中使用了那些攻击工具/li>
  • 整个攻击过程路径是怎样的/li>

恶意样本追踪溯源可以采取如下方法:

  • 全流量分析
  • 同源分析
  • 入侵日志
  • 域名/IP
  • 攻击模型

下面是通过样本分析对域名进行溯源分析的典型案例:

案例1:
Checkpoint经过细致分析后,最终归纳出一个首要嫌疑犯,即昵称为“Nexxus Zeta”的一个犯罪分子,原因在于攻击者在注册僵尸 络的某个C&C域名(nexusiotsolutions.net)时,所使用的邮箱地址包含相关信息。

该邮件地址(nexuszeta1337@gmail.com)与C&C域名有一些交集,因此怀疑这个地址并不是一次性邮件地址,可以根据该地址来揭晓攻击者的真实身份。当搜索Nexus Zeta 1337时,在HackForums上找到了一个活跃的成员,该成员的用户昵称为“Nexus Zeta”,自2015年8月起已经是HackForums的一份子。虽然这个人在这种论坛上活跃度很低,但他发表了几篇帖子,从这些帖子中并没有发现他的专业水平有多高。不过有趣的是,他最近关注的是如何建立起类似Mirai的IoT僵尸 络。

域名信息关联后,如下图所示:

案例3:
通过分析获取到的样本,该样本为downloader程序,主要通过下载恶意软件之后运行,下载的IP地址如下所示:

3.入侵日志

这种溯源分析方法偏向于主机取证分析,攻击者在入侵到主机后的行为分析。对攻击者留下的大量操作日志进行分析后,可以提取相关攻击者的信息,包括:

  • 连接服务器使用VPS信息。
  • 登陆主机后,一般为了维持对主机的访问权限,会尝试创建自己的账 及密码。
  • 攻击者为了偷取数据,使用的ftp或者数据服务器信息。
  • 通过对攻击者的登陆时间进行分析,可以基本定位所在大区域(北半球,南半球)。
  • 登陆主机后的操作模型,不同的攻击者,入侵成功后进行的行为有差异,每个人都有自己的行为指纹特征。

简单举个例子,不少攻击者习惯使用自动化的工具,去提取主机上的敏感信息( 站,邮箱,比特币, 银等账 密码),入侵成功后(钓鱼, 工,水坑攻击等),会在受害者机器上安装间谍软件,进行主机行为监控,并且定时将截获的敏感信息上传到服务上。

大多使用三种通信方式窃取敏感信息:ftp、smtp、http。

案例1:
通过分析入侵日志,最终分析其留的监控程序,溯源分析的案例,该样本中攻击者使用加密的smtp服务器窃取敏感信息,在样本分析过程中可以获取到邮箱的用户名与密码:

在邮件内容中,发现了攻击者的真实邮箱,之后通过进一步溯源分析,定位到了攻击者。下图是攻击者真实的twitter账 :

4.全流量分析

某些攻击者或者组织的反跟踪意识非常强,基本上不会留下任何痕迹,在达成入侵目的之后(窃取数据),会完全清除入侵痕迹,或者干脆销毁主机硬盘。

例如:2015年乌克兰电厂遭受攻击之后,攻击者利用killdisk组件销毁了全部数据。当然有些也不会留下在主机上的任何操作痕迹,部分勒索软件也是通过同样的手段进行痕迹擦除。这类案例也非常多,基本上在受害者机器上找不到任何痕迹,这时进行全流量分析溯源就相当有效了。

例如:以2017年Flareon 4th逆向挑战赛最后一题为例。

解密后的内容为一个远控端,其和主控端的通讯流量通过了全加密, 络传输数据格式如下:

过流量分析发现攻击者入侵行为如下:

  • 黑客入侵到168.221.91后,先获取了屏幕截图(内容包含了一个密码)。
  • 查看c:workFlareOn2017Challenge_10TODO.txt,发现larry相关提示(根据前期信息收集结果,可以知道johnson主机名)。
  • 通过ping命令获取到内 johnson主机IP地址(192.168.221.105)。
  • 使用psexec在johnson的主机上安装后门srv2.exe(监听本地16452端口)。
  • 之后通过内 代理连接该后门,通过代理插件上传加密模块到了johnson的主机上c:stagingcf.exe。
  • 利用加密程序(exe)对lab10的文件进行加密,之后将原始文件删除,并且通过代理传到了黑客手里。

该案例中仅通过全流量分析,最终还原整个入侵过程、黑客攻击行为以及窃取的内容,而在真实的环境中需要结合入侵日志进一步对恶意样本攻击进行追踪溯源。

5.同源分析

该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。这种溯源方法多用于定位APT组织或者某些知名的黑客团体(方程式)的行动,需要投入大量的人力,时间去完成溯源跟踪分析。

APT组织或者知名黑客团队,一般都有各自的工具定制开发部门,负责各类工具的开发,以及漏洞利用工具的量产(从今年4月份泄露的方程式组织内部的工具以及CIA泄露的部分文档就可以看出端倪)

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2020年1月4日
下一篇 2020年1月4日

相关推荐

首页
软件超市
企服市场
会员中心