【连载】2016年中国网络空间安全年报（八）

2016年中国网络空间安全年报

4.3 C&C服务器分布情况分析

C&C服务器，其全称为command and control server。攻击者通过各种途径传播恶意代码程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令。C&C服务器通常是被黑客利用建立控制通道，对被攻击方实施控制的重要跳板。

本节通过对APT云端中2016年互联网上传播恶意代码程序的C&C IP/URL进行分析，发现大量了仍然在活跃的C&C服务器。

4.3.1 大多C&C服务器活跃时间较短

根据安恒对截止到2016年12月捕获到的C&C IP/URL分析，发现目前仍然在活跃的C&C服务器占比达到了9%，说明还有大量的C&C服务器仍然在被控制。其中91%的C&C服务器在黑客使用后关闭或转移，以防止被追踪。

▲ 图 4‑13 C&C活跃度分析

4.3.2 大量C&C分布在欧洲与北美地区

对目前仍然活跃的C&C IP/URL所属区域分布进行分析，发现位于欧洲和北美地区的相对较多，占到总数的50%以上，意味着这些区域曾对我国发起了大量的攻击，并且服务器依然在攻击使用中。

▲ 图 4‑14 C&C分布区域

4.4 APT高级持续威胁对抗技术思路

4.4.1 APT对抗逃逸技术

Gartner在2013年将APT检测技术主要分为5种，即网络流量分析、网络取证、负载分析、终端行为分析、终端取证。其中负载分析主要是指通过沙盒对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁，但在对恶意样本分析的过程中，发现越来越多的逃逸和对抗样本，这些样本在对抗沙箱检测的过程中先会对虚拟机环境进行识别，以便采取休眠、隐藏行为等进一步的对抗逃逸沙箱检测：

▲ 图 4‑15 沙箱对抗逃逸技术

因此：反逃逸对抗技术必须要尽可能的涵盖更多的逃逸场景：

• 通过增加对特殊文件的隐藏可对抗文件检测，对抗针对虚拟机的辅助工具的检测和针对沙箱的文件的路径是否包含特殊的字符串的检测。
• 通过增加对特殊键值的隐藏可对抗注册表检测，如操作系统中增加的特殊信息。
• 通过指令插桩对抗特殊指令检测，对抗CPU指令检测硬件信息。CPU指令，如：CPUID，LIDT，LGDT, RDTSC等。

4.4.2 云端情报分析技术

Gartner认为，威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报是应对APT（高级持续威胁）重要的支撑。当前，云端已经成为威胁情报典型的应用场景，基于云端一方面可以实现统一威胁管理，分析当前的安全威胁态势，感知最新的安全威胁动向。另一方面可以实现更为高级的分析能力，依托机器学习和高级人工协助分析，可以协助准确定位各种高级威胁。依托云端分析最新的安全威胁，并快速共享各种未知威胁数据到各个节点，实现全网整体联动分析安全威胁。

▲ 图 4‑16 基于云端的情报分析技术

基于云端情报可以提供的能力，包含各种样本威胁指数，传播次数，病毒检测、静态检测和动态检测结果，接受云端僵尸主机、最新APT事件信息等威胁情报信息。

4.4.3 样本同源性分析技术

样本同源性分析技术是对APT事件追踪关键的一个环节，恶意代码与正常程序的区别在于其运行后会对计算机及网络系统产生危害。因此，除了与正常程序相近的行为操作之外，对于可能会对系统产生危害的恶意行为应给与重点关注。恶意代码的行为特征包修改注册表行为、敏感路径操作行为、进程行为、溢出行为、隐藏自身不被发现、破坏系统关键功能等。除此之外，还会根据自身特点产生一些功能行为，如勒索病毒通常都具有如下行为：

▲ 图 4‑17 勒索病毒行为

这些行为往往依赖操作系统的函数调用，并读取、修改、操作系统的相关资源对象，如文件、进程、网络、注册表。因此，一个恶意代码的恶意行为产生不是单一的，必定有相关的行为关联，由一系列的函数调用及控制流程最终产生，产生的行为操作过程也代表了恶意代码作者的实现思路，相同的函数调用图及控制流程图是判断同源性的重要依据。

▲ 图 4‑18 勒索病毒行为调用过程

以下是样本同源性分析的具体思路：

通过沙箱可以提取所有样本的具体恶意行为，而其中一些样本是具有相应的规律的，尤其是出自相同的黑客组织，这些同源的恶意代码在具体的行为操作上有着相同或相似的片段，如函数的调用、自定义的加解密函数等，其实现的功能或相同或相近，如在Duqu和stuxnet这两类被认为是共同对伊朗核电站基础设施发动攻击的恶意代码中，他们的关键功能代码：如dll注入、RPC服务，有着高度的一致性，另外在反跟踪调试的技术和判定系统状态的技术上也极为相似，因此，同源恶意代码由于其实施的功能或相近或相似，出去编译器自动产生的代码外，其行为操作的恶意代码片段非常类似，这是判定同源性的重要因素。

5 互联网勒索病毒事件专题分析

2016年世界各地出现了多起知名的勒索病毒，其主要以邮件和恶链木马的形式进行传播。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。然后，利用系统内部的加密处理，是一种不可逆的加密，除了病毒开发者本人，其他人是不可能解密的。加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以js、vbs、压缩包等类型为主，隐蔽性极强，对常规依靠特征检测的安全产品是一个极大的挑战。

经过分析，该类型病毒的规律如下：

1. 该类型病毒的针对目标性极强，主要以邮件为传播方式；
2. 勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。然后，将加密公钥写入到注册表中，遍历本地所有磁盘中的Office文档、图片等文件，对这些文件进行格式篡改和加密；加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金；
3. 该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

5.1 勒索病毒传播方式以邮件为主

2016年安恒APT云端共监控到勒索病毒的传播次数达到142,467次，其中利用邮件传播的占比达到99%以上，个别会通过社交网站和聊天工具传播，攻击样本通常为zip、js、exe、vbs、jse、rar、wsf等类型。

其分别占比情况如下：

▲ 图 5‑1 勒索病毒分类

5.2 勒索病毒以遍历文件与加密行为为主

通过沙箱分析技术，可以对勒索病毒精准分类判断，通过沙箱取样分析并提取其中的关键行为，包括进程行为、文件行为、网络行为等信息，其中的典型恶意行为排序如下：

▲ 图 5‑2 勒索病毒行为特点TOP10

5.3 新型勒索病毒变异快流程更复杂

勒索病毒通常变异速度非常快，对杀毒软件、防毒墙等传统安全防护是极大的挑战，根据对勒索病毒变异的特点分析，变异后的勒索病毒运行流程复杂，且针对关键数据以加密函数的方式进行隐藏，该样本再通过自身的解密函数解密出网址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体无需联网下载秘钥即可实现对文件加密。

▲ 图 5‑3 勒索病毒执行过程

在沙箱分析过程中发现了新型勒索病毒样本具备大量的反调试行为，用于对抗调试器的分析。

5.4 勒索病毒应对技术

基于勒索病毒的特点，应对勒索病毒需要采用基于行为分析的机制，通过沙箱虚拟分析技术，对网络中传输的样本先进行运行分析，捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息，识别其中可疑的勒索病毒特点，快速对网络中传输的勒索病毒样本进行预警，及时通知被攻击方提高安全防范意识，防止出现被感染的情况。

同时，基于云端提供的更为深层的威胁分析服务，可以实现高级的安全预警和情报共享，依托于云端的海量数据、高级的机器学习和大数据分析能力，可及时共享最新的安全威胁情报，提供更为精准的威胁分析能力。

未完待续