分析恶意软件的主要目的是确认特定恶意软件的工作方式,提取IOC(妥协指标)并找出对策。它使得安全软件供应商能够为客户构建更好的检测和保护措施。不过这项工作几乎完全是技术性的:它专注于二进制文件及其属性。恶意软件分析的结果对于组织来说至关重要,因为它们可以防止病毒爆发或修复实时渗透。研究机构发现,除了专业性问题外,研究恶意软件对于打击 络犯罪的执法活动也很有帮助,ESET为此给出了一些工作实例。
2015年,ESET受邀加入微软针对Win32 / Dorkbot恶意软件系列的恶意软件根除活动(CME)。Dorkbot是一个在地下论坛上发售的套件,感染超过一百万台电脑生成多个独立的僵尸 络。本CME活动的目标是大规模破坏僵尸 络的同时瓦解相关的C&C基础设施。
为了支持此操作,ESET恶意软件研究人员自动化了从Dorkbot二进制文件中提取C&C信息的过程。他们将此过程应用于现有和新Dorkbot样本。然后,通过删除已知的sinkhole和清除域/ IP来手动清理结果,以降低非法获取合法资源的风险。微软将这些信息与自己的数据合并在一起,创建了所有活动的C&C节点的详尽列表。
这份完整的清单随后转发给世界各地的执法机构,如加拿大广播电视和电信委员会(CRTC),国土安全部美国计算机应急准备小组(DHS / US-CERT),欧洲刑警组织,联邦调查局(FBI),国际刑警组织和加拿大皇家骑警(RCMP)。从那时起,全球Dorkbot活动急剧下降,这表明CME活动取得了成功。
Windigo和Ebury僵尸 络
ESET在2014年首次发布了关于Windigo骇客行动的详尽技术分析 告。简单说,Windigo是由一个窃取证书的后门支持,这个带有未知数量恶意组件的后门感染了数万个Linux服务器,并通过发送垃圾邮件或重定向HTTP流量等方式将僵尸 络货币化。 告公布后,ESET开始与FBI合作调查 Windigo骇客行动背后的 络犯罪分子。
合作方式即与FBI分享源自ESET的恶意软件研究的技术信息,例如受感染的IP,从僵尸 络发送的垃圾邮件中获取的信息,以及其他相关和公开可用的信息,如域名注册信息。
2015年初,俄罗斯公民马克西姆·塞纳克(Maxim Senakh)被认定为Windigo骇客行动的参与者之一,在美国被正式起诉。Senakh 后来被俄罗斯边境的芬兰当局逮捕,当时他正度假返回俄罗斯,随后于2016年2月被引渡到美国。Senakh最终承认串谋实施 络诈骗违反了《计算机欺诈和滥用法案》,被判入狱46个月。
Why?
ESET认为,花费时间和精力使 络犯罪分子的生活更加艰难是值得的。我们相信这是阻止 络犯罪活动并使互联 变得更安全的最佳方式之一。
经典预防犯罪逻辑背后有各种理论,研究机构不会伪装成犯罪学家。然而,研究者在打击 络犯罪方面所做的工作与“情景犯罪预防”理论之间有一个清晰的映射,该理论的定义是:“情境性犯罪预防的前提是,犯罪往往是机会主义的,目的是修改情境因素,以限制犯罪者从事犯罪行为的机会。”
情境犯罪预防技术可分为不同的大类,其中三类与 络安全研究相关。
1.增加犯罪活动阻力
执行阻断犯罪的协调活动,例如针对Dorkbot的活动,迫使攻击者重新组合并转向新的策略和技术,例如创建新的恶意软件或更改通信协议,明显增加维持持续犯罪行为所需的工作量。
2.减少犯罪所带来的回
按照1条可以推论,破坏恶意操作必然会增加犯罪成本,从而按比例减少净利润。
3.增加犯罪风险
向执法人员提供技术信息有助于引导他们在正确的方向上调查从而作出更有效的行动。随着恶意软件研究人员合作加强,更深入的 络犯罪调查将导致更多犯罪分子被逮捕定罪,进而提升了犯罪风险。
一些人认为, 络犯罪很少受到惩罚的原因是,人们很容易在 上匿名进行犯罪活动,而不太可能被追踪到。实际上恰恰相反:维持完美的安全运营模式(OPSEC)始终是相当困难的。
不妨思考为了利用恶意操作所必须做的一切:启动感染活动,监控僵尸 络的状态,更新恶意组件,注册域名或托管服务,通过操作本身获利等等。为了执行完美的 络犯罪活动,犯罪分子必须始终如一地执行每一步。犯罪者是人类,只要是人都难免犯错。只要攻击者在启用VPN或TOR连接之前连接到错误的服务器,并且指向攻击者的记录将被存储在某个日志文件中,就终会被人发现。
也有些人放弃追捕 络犯罪分子,因为即使确定 络犯罪分子身份,可能仍然仍然无法接近。也许他们生活在一个没有有效打击 络犯罪法律的司法管辖区,或者追捕方与调查这些法律的国家没有相互引渡条约的司法管辖区。但同样,如果抓住某些特别的时机依然可以成功,比如犯罪分子恰好去某个合适的地区去度假。
因为执法机构获得了与ESET等专业机构合作跟踪 络犯罪分子,2017年大量不法分子因从事 络犯罪活动被捕,我们可以充满信心地预测,这将促进2018有更多的专业机构参与辅助帮助执法成功,互联 安全性有望大幅提升。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!