LEET 2010：關(guān)注威脅、攻擊網(wǎng)絡(luò)事件

4月，第三屆大規(guī)模攻擊和緊急威脅討論會(huì)（Workshop on Large-Scale Exploits and Emergent Threats，簡(jiǎn)稱(chēng) LEET)在美國(guó)加州的圣何塞市召開(kāi)。這是一個(gè)USENIX舉辦的小型安全討論會(huì)，自2008年起每年舉辦一屆。盡管規(guī)模不大，但參加者都是來(lái)自企業(yè)的一線(xiàn)安全人員和研究機(jī)構(gòu)中的資深科學(xué)家。LEET關(guān)注的是大規(guī)模和新出現(xiàn)的威脅、攻擊網(wǎng)絡(luò)事件以及對(duì)應(yīng)的解決方法。今年的LEET共包括四個(gè)Session，分別是：僵尸網(wǎng)絡(luò)（Botnet）、威脅測(cè)量（Threat Measurement and Characterization）、威脅檢測(cè)和消除（Threat Detection and Mitigation）、新的威脅和挑戰(zhàn)（New Threats and Challenges）。

1 僵尸網(wǎng)絡(luò)

Botnet

僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)公認(rèn)的最大威脅之一，龐大的Botnet成為各類(lèi)網(wǎng)絡(luò)犯罪（分布式拒絕服務(wù)攻擊，垃圾郵件，帳號(hào)竊取等等）的基礎(chǔ)，并且迄今為止一直缺少有效的抑制僵尸網(wǎng)絡(luò)的方式。這次會(huì)議的兩篇文章分別從不同角度討論Botnet的組織結(jié)構(gòu)，希望能為檢測(cè)和抑制僵尸網(wǎng)絡(luò)的攻擊提供新的思路。

來(lái)自加州大學(xué)伯克利分校的Chia Yuan Cho等撰寫(xiě)的“Insights from the Inside: A View of Botnet Management from Infiltratio”介紹了他們?nèi)绾瓮ㄟ^(guò)偽裝技術(shù)進(jìn)入一個(gè)以發(fā)送垃圾郵件為主的僵尸網(wǎng)絡(luò)MegaD，根據(jù)他們持續(xù)4個(gè)月的觀(guān)測(cè)，現(xiàn)有的僵尸網(wǎng)絡(luò)不再是單一的控制機(jī)構(gòu)，在MegaD中，垃圾郵件的發(fā)送控制被不同的服務(wù)器控制，根據(jù)角色可以把它們分為命令控制服務(wù)器、程序下載服務(wù)器、模板下載服務(wù)器和郵件發(fā)送服務(wù)器。在觀(guān)測(cè)過(guò)程中，他們還發(fā)現(xiàn)了MegaD遭受來(lái)自安全組織FireEye關(guān)閉行動(dòng)之后，僅通過(guò)1周時(shí)間就不能恢復(fù)到超過(guò)被關(guān)閉之前的垃圾郵件發(fā)送量，說(shuō)明僵尸網(wǎng)絡(luò)的存活能力非常強(qiáng)。

來(lái)自北卡羅來(lái)納大學(xué)的Chris Nunnery等撰寫(xiě)的“Tumbling Down the Rabbit Hole: Exploring the Idiosyncrasies of Botmaster Systems in a Multi-Tier Botnet Infrastructure”介紹了他們?nèi)绾螐奈募途W(wǎng)絡(luò)Trace分析一種新的P2P僵尸網(wǎng)絡(luò)Waledac，Waledac是著名蠕蟲(chóng)的Storm的一種后續(xù)發(fā)展。Nunnery等人發(fā)現(xiàn)Waledac的命令控制服務(wù)器呈現(xiàn)了一種復(fù)雜的多層控制體制。

2 威脅測(cè)量

Threat Measurement and Characterization

威脅測(cè)量的三篇論文主要討論了虛假防病毒軟件、惡意網(wǎng)頁(yè)和P2P的隱私泄漏問(wèn)題。

來(lái)自Google的Moheeb Abu Rajab等人的“ The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution”對(duì)目前互聯(lián)網(wǎng)上的虛假防病毒軟件（Fake Anti-Virus Software）進(jìn)行統(tǒng)計(jì)。和一般的惡意軟件不同，虛假防病毒軟件通過(guò)欺騙用戶(hù)付費(fèi)來(lái)刪除其實(shí)不存在的惡意程序來(lái)獲利。根據(jù)Google在過(guò)去13個(gè)月中的搜索，共有11000多個(gè)域名和傳播虛假防病毒軟件相關(guān)，占總惡意網(wǎng)頁(yè)相關(guān)域名的15%，并且其絕對(duì)數(shù)量和相對(duì)數(shù)量仍在不停增長(zhǎng)，Google預(yù)計(jì)這種形式的惡意軟件將成為通過(guò)網(wǎng)頁(yè)傳播的惡意軟件的主流。

來(lái)自法國(guó)的Stevens Le Blond等人的Spying the World from Your Laptop:Identifying and Profiling Content Providers and Big Downloaders in BitTorrent對(duì)目前最流行的P2P軟件BT的隱私性進(jìn)行了測(cè)試，發(fā)現(xiàn)現(xiàn)有BT協(xié)議的漏洞，只要進(jìn)入P2P網(wǎng)絡(luò)，一臺(tái)主機(jī)就可以對(duì)網(wǎng)絡(luò)中的其他主機(jī)進(jìn)行信息收集。作者在103天中通過(guò)下載20億個(gè)文件一共對(duì)1億4800萬(wàn)個(gè)IP地址進(jìn)行了監(jiān)測(cè)。

來(lái)自微軟的Jack W. Stokes等人的“WebCop: Locating Neighborhoods of Malware on the Web”介紹了如何通過(guò)基于主機(jī)的防病毒軟件和搜索引擎結(jié)合來(lái)對(duì)遍布互聯(lián)網(wǎng)的惡意網(wǎng)頁(yè)進(jìn)行檢測(cè)。作者的基本思路是通過(guò)防病毒軟件獲得包含惡意軟件的網(wǎng)頁(yè)信息，然后通過(guò)搜索引擎發(fā)現(xiàn)鏈接到包含惡意軟件的網(wǎng)頁(yè)，并對(duì)這些惡意網(wǎng)頁(yè)的“社區(qū)”中的網(wǎng)頁(yè)進(jìn)行檢測(cè)，從而發(fā)現(xiàn)更多的惡意軟件。

3 威脅檢測(cè)和消除

Threat Detection and Mitigation

本次會(huì)議中的威脅檢測(cè)方法中，基于域名的黑名單是重點(diǎn)，有兩篇文章從不同角度討論了黑名單的擴(kuò)展問(wèn)題。

來(lái)自美國(guó)加州大學(xué)伯克利分校的Mark Felegyhazi等人的On the Potential of Proactive Domain Blacklisting從域名的注冊(cè)信息來(lái)進(jìn)行黑名單的推理工作。通過(guò)對(duì)比注冊(cè)時(shí)間、注冊(cè)人和注冊(cè)服務(wù)器信息，作者從一個(gè)已知的黑名單域名可以推出3～15個(gè)新的可疑域名，經(jīng)過(guò)后期第三方安全組織的驗(yàn)證，其中93%的預(yù)測(cè)域名被認(rèn)為是可疑的，73%的域名則最終進(jìn)入了安全組織的黑名單。作者認(rèn)為這種預(yù)反應(yīng)的黑名單比后反應(yīng)的黑名單可以提前2天進(jìn)行預(yù)警，從而達(dá)到更好的黑名單效果。

來(lái)自日本NTT的Kazumichi Sato等人的Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries則從DNS解析行為來(lái)進(jìn)行黑名單的推理工作。作者認(rèn)為目前的惡意軟件都會(huì)使用多個(gè)域名保證惡意網(wǎng)絡(luò)的存活，感染主機(jī)對(duì)這些域名的解析行為也應(yīng)該具有相似性，因此通過(guò)對(duì)比主機(jī)對(duì)已知黑名單中的惡意域名和其他域名的訪(fǎng)問(wèn)頻度等方面，可以發(fā)現(xiàn)新的惡意軟件使用的域名。但他們的方法目前有較高的誤報(bào)率，相對(duì)于上一篇文章的方法效果有限。

4 新的威脅和挑戰(zhàn)

New Threats and Challenges

本次會(huì)議的新威脅部分介紹了幾種不同類(lèi)型的新攻擊或威脅形式，如基于Latex文檔的病毒傳播和基于聊天的新社會(huì)工程學(xué)攻擊。

來(lái)自美國(guó)加州大學(xué)圣迭戈分校的Stephen Checkoway等人的“Are Text-Only Data Formats Safe? Or, Use This LaTeX Class File to Pwn Your Computer”介紹了如何通過(guò)Latex文件制作病毒，傳統(tǒng)上認(rèn)為只有包含宏功能的Word文件才能傳播病毒，但作者證明通過(guò)Latex的宏集定義也可以完成同樣的功能。

來(lái)自EUROCOM的Tobias Lauinger等人的“Honeybot, Your Man in the Middle for Automated Social Engineering”則展示了一種新的攻擊方式，通過(guò)機(jī)器人偽裝人類(lèi)進(jìn)行多步聊天來(lái)欺騙普通的計(jì)算機(jī)用戶(hù)點(diǎn)擊惡意網(wǎng)頁(yè)鏈接，這種方式相對(duì)于傳統(tǒng)的基于郵件和聊天軟件的方式有更高的成功率，在作者的實(shí)驗(yàn)中，有70%的用戶(hù)點(diǎn)擊了他們發(fā)送的鏈接。

（翻譯：楊望）