专栏首页安恒信息【连载】2016年中国网络空间安全年报(八)

【连载】2016年中国网络空间安全年报(八)

2016年中国网络空间安全年报

4.3 C&C服务器分布情况分析

C&C服务器,其全称为command and control server。攻击者通过各种途径传播恶意代码程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令。C&C服务器通常是被黑客利用建立控制通道,对被攻击方实施控制的重要跳板。

本节通过对APT云端中2016年互联网上传播恶意代码程序的C&C IP/URL进行分析,发现大量了仍然在活跃的C&C服务器。

4.3.1 大多C&C服务器活跃时间较短

根据安恒对截止到2016年12月捕获到的C&C IP/URL分析,发现目前仍然在活跃的C&C服务器占比达到了9%,说明还有大量的C&C服务器仍然在被控制。其中91%的C&C服务器在黑客使用后关闭或转移,以防止被追踪。

▲ 图 4‑13 C&C活跃度分析

4.3.2 大量C&C分布在欧洲与北美地区

对目前仍然活跃的C&C IP/URL所属区域分布进行分析,发现位于欧洲和北美地区的相对较多,占到总数的50%以上,意味着这些区域曾对我国发起了大量的攻击,并且服务器依然在攻击使用中。

▲ 图 4‑14 C&C分布区域

4.4 APT高级持续威胁对抗技术思路

4.4.1 APT对抗逃逸技术

Gartner在2013年将APT检测技术主要分为5种,即网络流量分析、网络取证、负载分析、终端行为分析、终端取证。其中负载分析主要是指通过沙盒对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁,但在对恶意样本分析的过程中,发现越来越多的逃逸和对抗样本,这些样本在对抗沙箱检测的过程中先会对虚拟机环境进行识别,以便采取休眠、隐藏行为等进一步的对抗逃逸沙箱检测:

▲ 图 4‑15 沙箱对抗逃逸技术

因此:反逃逸对抗技术必须要尽可能的涵盖更多的逃逸场景:

  • 通过增加对特殊文件的隐藏可对抗文件检测,对抗针对虚拟机的辅助工具的检测和针对沙箱的文件的路径是否包含特殊的字符串的检测。
  • 通过增加对特殊键值的隐藏可对抗注册表检测,如操作系统中增加的特殊信息。
  • 通过指令插桩对抗特殊指令检测,对抗CPU指令检测硬件信息。CPU指令,如:CPUID,LIDT,LGDT, RDTSC等。

4.4.2 云端情报分析技术

Gartner认为,威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报是应对APT(高级持续威胁)重要的支撑。当前,云端已经成为威胁情报典型的应用场景,基于云端一方面可以实现统一威胁管理,分析当前的安全威胁态势,感知最新的安全威胁动向。另一方面可以实现更为高级的分析能力,依托机器学习和高级人工协助分析,可以协助准确定位各种高级威胁。依托云端分析最新的安全威胁,并快速共享各种未知威胁数据到各个节点,实现全网整体联动分析安全威胁。

▲ 图 4‑16 基于云端的情报分析技术

基于云端情报可以提供的能力,包含各种样本威胁指数,传播次数,病毒检测、静态检测和动态检测结果,接受云端僵尸主机、最新APT事件信息等威胁情报信息。

4.4.3 样本同源性分析技术

样本同源性分析技术是对APT事件追踪关键的一个环节,恶意代码与正常程序的区别在于其运行后会对计算机及网络系统产生危害。因此,除了与正常程序相近的行为操作之外,对于可能会对系统产生危害的恶意行为应给与重点关注。恶意代码的行为特征包修改注册表行为、敏感路径操作行为、进程行为、溢出行为、隐藏自身不被发现、破坏系统关键功能等。除此之外,还会根据自身特点产生一些功能行为,如勒索病毒通常都具有如下行为:

▲ 图 4‑17 勒索病毒行为

这些行为往往依赖操作系统的函数调用,并读取、修改、操作系统的相关资源对象,如文件、进程、网络、注册表。因此,一个恶意代码的恶意行为产生不是单一的,必定有相关的行为关联,由一系列的函数调用及控制流程最终产生,产生的行为操作过程也代表了恶意代码作者的实现思路,相同的函数调用图及控制流程图是判断同源性的重要依据。

▲ 图 4‑18 勒索病毒行为调用过程

以下是样本同源性分析的具体思路:

通过沙箱可以提取所有样本的具体恶意行为,而其中一些样本是具有相应的规律的,尤其是出自相同的黑客组织,这些同源的恶意代码在具体的行为操作上有着相同或相似的片段,如函数的调用、自定义的加解密函数等,其实现的功能或相同或相近,如在Duqu和stuxnet这两类被认为是共同对伊朗核电站基础设施发动攻击的恶意代码中,他们的关键功能代码:如dll注入、RPC服务,有着高度的一致性,另外在反跟踪调试的技术和判定系统状态的技术上也极为相似,因此,同源恶意代码由于其实施的功能或相近或相似,出去编译器自动产生的代码外,其行为操作的恶意代码片段非常类似,这是判定同源性的重要因素。

5 互联网勒索病毒事件专题分析

2016年世界各地出现了多起知名的勒索病毒,其主要以邮件和恶链木马的形式进行传播。勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,利用系统内部的加密处理,是一种不可逆的加密,除了病毒开发者本人,其他人是不可能解密的。加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以js、vbs、压缩包等类型为主,隐蔽性极强,对常规依靠特征检测的安全产品是一个极大的挑战。

经过分析,该类型病毒的规律如下:

  1. 该类型病毒的针对目标性极强,主要以邮件为传播方式;
  2. 勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所有磁盘中的Office文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金;
  3. 该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。

5.1 勒索病毒传播方式以邮件为主

2016年安恒APT云端共监控到勒索病毒的传播次数达到142,467次,其中利用邮件传播的占比达到99%以上,个别会通过社交网站和聊天工具传播,攻击样本通常为zip、js、exe、vbs、jse、rar、wsf等类型。

其分别占比情况如下:

▲ 图 5‑1 勒索病毒分类

5.2 勒索病毒以遍历文件与加密行为为主

通过沙箱分析技术,可以对勒索病毒精准分类判断,通过沙箱取样分析并提取其中的关键行为,包括进程行为、文件行为、网络行为等信息,其中的典型恶意行为排序如下:

▲ 图 5‑2 勒索病毒行为特点TOP10

5.3 新型勒索病毒变异快流程更复杂

勒索病毒通常变异速度非常快,对杀毒软件、防毒墙等传统安全防护是极大的挑战,根据对勒索病毒变异的特点分析,变异后的勒索病毒运行流程复杂,且针对关键数据以加密函数的方式进行隐藏,该样本再通过自身的解密函数解密出网址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体无需联网下载秘钥即可实现对文件加密。

▲ 图 5‑3 勒索病毒执行过程

在沙箱分析过程中发现了新型勒索病毒样本具备大量的反调试行为,用于对抗调试器的分析。

5.4 勒索病毒应对技术

基于勒索病毒的特点,应对勒索病毒需要采用基于行为分析的机制,通过沙箱虚拟分析技术,对网络中传输的样本先进行运行分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。

同时,基于云端提供的更为深层的威胁分析服务,可以实现高级的安全预警和情报共享,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力。

未完待续

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-01-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 探秘|业余时间怎么培养数据分析的能力?

    想要培养数据分析的能力,我认为可以从两部分来着手:一是数据分析方法论的建立,二是数据分析从入门到精通的知识学习。 那么该如何搭建自己的数据分析知识体系?数据分析...

    灯塔大数据
  • 诈勒索病毒席卷全球99个国家,做到这些让你免遭勒索!(最新策略)

    5月12日,全球范围内99个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。其中英国的 NHS 服务受到了大规模的网络攻击,至少 40 家医疗机构内网被黑...

    昱良
  • 模拟利用Redis入侵系统

    昨天的文章写了系统被黑过程,原因是redis安全配置没做好,让黑客轻松通过redis设置了ssh免密码登陆,从而成功入侵 对这个攻击过程有点好奇,就查了下相关...

    dys
  • 黑客魔术!如何黑掉一台根本不联网的电脑

    2014年SONY公司遭到朝鲜黑客入侵,所有机密信息几乎被席卷而去。传说是员工在最后关头拔掉了网线才勉强保住了“底裤”。这种“拔网线”的做法看上去包治百病。然而...

    前朝楚水
  • 无知者的畏惧之AlphaGo Zero

    题外话:鉴于我写的一些话题很容易就得罪了各大公司的PR们,导致包括起诉我,到我公司去告状等一系列的麻烦,以后我会避免直接提起公司或者产品的名字,以代号称呼。 1...

    用户1564362
  • 探秘|美国大选背后的个人隐私与大数据

    美国总统竞选从来都是一项注重公众参与的活动,了解公众的需求,获得公众的喜好再加以满足,是入主白宫的根本;现在的候选人们早已意识到,数据技术是必要的途径。 20...

    灯塔大数据
  • 八步拿下数据科学,攻克 “21世纪最性感的工作”

    在数据科学(Data Science)领域,除了“什么是数据科学”这个问题以外,大家最感兴趣的问题就是“如何学习数据科学?”其实这个问题除了新手会问,有时候领域...

    智能算法
  • 你之所以生活在光明之中,是因为有人阻挡了黑暗

    摘要 当前网络已经深入我们工作和生活的方方面面,随之而来的是安全防护形势不容乐观。据我们公司内部做安全的同学统计,目前国内黑客的数量就超过了10万,每年的攻击次...

    IT大咖说
  • 路透社报告称美国政府是“0day”漏洞最大的买家

    在利用0day漏洞去展开网络攻击,中国不是唯一的“恶魔”。根据路透社的报告,在一个蓬勃发展的由黑客和安全公司开发和销售入侵工具的灰色市场,美国政...

    安恒信息
  • Cisco&白盒交换机中存在安全漏洞

    Cisco 网络黑客可以通过个别安全漏洞控制运行在白盒交换机或Cisco交换机上的网络,一个安全研究员声称运行ONIE安装实用程序的白盒SDN交换机存在严重的安...

    SDNLAB

扫码关注云+社区

领取腾讯云代金券