◎上海戎磐網(wǎng)絡科技有限公司 劉旭
伴隨萬物互聯(lián)時代到來,物聯(lián)網(wǎng)安全也日益凸顯。美國最新公布的《2016—2045年新興科技趨勢報告》認為,到2045年,將有超過1千億的設備連接在互聯(lián)網(wǎng)上,隨著物聯(lián)網(wǎng)發(fā)展以及常用連接越來越多,網(wǎng)絡安全將成為網(wǎng)絡行業(yè)的首要話題。在眾多物聯(lián)網(wǎng)網(wǎng)絡攻擊威脅的樣式中,通過控制物聯(lián)網(wǎng)傳感器發(fā)起大規(guī)模DDoS攻擊的案例呈爆發(fā)趨勢,值得關注和警惕。
需要說明的是,看似DDoS攻擊對普通個人似乎并沒有多大影響,而實際上卻可能嚴重影響人們的生活和工作,甚至威脅國家和互聯(lián)網(wǎng)的安全。當DDoS僵尸網(wǎng)絡執(zhí)行攻擊時,物聯(lián)網(wǎng)傳感器這些“肉雞”也都屬于受害者。2016年10月,美國域名服務商Dyn遭到大規(guī)模物聯(lián)網(wǎng)僵尸網(wǎng)絡DDoS攻擊,導致美國東部大面積不能正常上網(wǎng)。同年11月底,造成德國90多萬臺路由器和固定電話的網(wǎng)絡癱瘓,就是因為相關物聯(lián)網(wǎng)設備被植入Mirai家族木馬并執(zhí)行DDoS攻擊造成的網(wǎng)絡堵塞。著名的Gafgyt僵尸網(wǎng)絡于2014年8月第一次被發(fā)現(xiàn),特別是2014年末在Lizard Squard(Xbox Live)與PlayStation Network的DDoS攻擊發(fā)生后變得更加有名。2015年1月Gafgyt的源代碼被公開,目前Gafgyt也是存在最多變型的惡性代碼。在全球控制物聯(lián)網(wǎng)節(jié)點超過10萬。而黑客的攻擊目標也從小范圍的網(wǎng)絡目標,升級到商業(yè)之間的競爭、國家金融服務,甚至國家之間的政治、軍事行動等等。如今,DDoS僵尸網(wǎng)絡搭建的簡易性和廉價性,給互聯(lián)網(wǎng)安全和我們日常生活和工作造成的威脅日趨嚴峻,維護網(wǎng)絡安全發(fā)展仍然任重道遠。
傳統(tǒng)網(wǎng)絡安全分析技術大都基于特征檢測,總體看,在經過近10余年的發(fā)展,在識別、檢測、響應、處置網(wǎng)絡安全威脅方面積累了大量規(guī)則數(shù)據(jù),誕生了大量新型安全技術。但也存在一些短板,比如個體識別向群體識別邁進不足,在提升防御精度的同時擴展廣度能力有限等等。因此,行業(yè)里已經出現(xiàn)一些企業(yè)創(chuàng)新提出“軟件基因”的新型思路,以全新視角看待網(wǎng)絡空間。
“軟件基因”技術借鑒生物基因認識生命本源的思想,提出以“基因”視角認識網(wǎng)絡空間并解決多種網(wǎng)絡安全技術痛點,是和傳統(tǒng)基于“特征檢測”并行的技術路線,是我國自主首創(chuàng)全球領先的基礎性創(chuàng)新技術。“軟件基因”技術圍繞軟件本身“同源未必相似、相似未必同源”的安全屬性,從軟件代碼的“遺傳性”和“變異性”兩方面進行了系統(tǒng)技術驗證,打破了傳統(tǒng)安全主要基于“特征檢測”的技術路線,為新型網(wǎng)絡安全技術發(fā)展與應用提出了新的研究方向。橫向看,2017年3月,維基解密曝光大量美國CIA網(wǎng)絡武器庫,其中的Umbrage項目通過收集大量公開的黑客工具、攻擊技術、泄露數(shù)據(jù)等信息,通過模仿、混淆等方法生成新工具,發(fā)起迷惑對手、嫁禍于人、隱藏自己網(wǎng)絡攻擊,有一定“基因混淆”的思想,但具體進展不詳。國外一些研究人員近年來提出針對軟件的胎記(Birth Mark)識別,本質仍是基于特征的,主要用于對軟件的知識產權檢測,并不針對網(wǎng)絡空間。
Mirai家族和Gafgyt家族都是著名的物聯(lián)網(wǎng)僵尸網(wǎng)絡木馬家族,以其樣本為研究分析對象,利用上海戎磐網(wǎng)絡科技有限公司惡意代碼軟件基因分析引擎核心產品,繪制樣本基因圖譜,生成基因關聯(lián)分析熱力圖,可以得到以下結論:
第一組是Gafgyt組:包含推測變種的Gafgyt和兩個對照樣本。
第二組是Mirai組:包含與變種樣本相似度較高的三個Mirai樣本。
我們利用基因分析引擎將一組Gafgyt和Mirai樣本通過基因檢測的方式進行分析后得出了一張熱力圖(圖1)。圖中坐標軸數(shù)字是樣本的編號,顏色深淺表示樣本相似度,顏色越紅表示相似度越高,反之則越淺。
我們除了看出1-4,5-22基本屬于同一類衍生樣本之外,發(fā)現(xiàn)了1號Gafgyt樣本與同組相似度一般,反而與5-22大部分Mirai樣本有很高的熱力值。借此,本文將對于疑似變異Gafgyt樣本與其他Mirai進行更進一步的分析。
1、Gafgyt組分析結果
圖1 樣本基因分析熱力圖
1)全部都在.rodata前段找到大量存儲的linux系統(tǒng)指令,包括用戶登陸和調用網(wǎng)絡通信。
2)在相同內存段后段找到大量存儲的提示字符串。
3)在三個樣本中都找到了不同的IP通訊地址,疑似是惡意代碼用來通訊和傳輸?shù)牡刂?,對所有地址利用信譽引擎進行惡意信譽查詢,可以判定:
2、Mirai組分析結果
1)在.rodata段后段存儲了許多加密過的數(shù)據(jù),與Gafgyt不同(圖 2)。
尋找部分并解碼后發(fā)現(xiàn)名為Table_Killer_Safe的函數(shù),繼續(xù)搜索發(fā)現(xiàn)很多類似命名的函數(shù),執(zhí)行的功能推測是關閉telnet,http,ssh等接口防止被其他類似功能病毒感染。
2)三個樣本都存儲了密碼數(shù)據(jù)(圖3)
abcdefghijklmnopqrstuvw012345678類似密碼的數(shù)據(jù),也都調用了watchdog。
3)在d9fe3d7436659fca1ddc54的Mirai樣本中發(fā)現(xiàn)了IP地址185.244.25.153,通過信譽引擎查詢,發(fā)現(xiàn)該IP提供下載了 8UsA.sh 等文件。
與Gafgyt變異樣本所下載文件相同,如下圖所示:
將上面代碼整理后得到:
圖2.rodata段后段存儲的加密數(shù)據(jù)
圖3 樣本存儲的密碼數(shù)據(jù)
4)分析結果
通過上面的分析,我們對比了在熱力圖中顯示疑似變異的Gafgyt樣本(簡稱變異樣本)與另一組中部分Mirai樣本。發(fā)現(xiàn)了變異樣本和自身同組其他Gafgyt樣本具有類似的文件內容,確實符合Gafgyt的分組。同時,也發(fā)現(xiàn)了變異樣本與另一組Mirai樣本通過IP調用了同樣的.sh腳本文件,從運行方式上與Mirai樣本也有著相似度。
所以我們可以得到這樣的結論,從特征檢測的角度出發(fā),我們可以把樣本按照預制的規(guī)則區(qū)別成Mirai和Gafgyt,但這種識別和區(qū)分事實上會給實際應對和處置工作帶來困惑。因此,如果從基因視角看,則是面向群體的結論,即:mirai_4147e375f325878fe3c3962c3d4ac411c47ddbef同時擁有兩種不同類型樣本的基因,包括了Gafgyt,因此在應對時應增加更多的機制與算法。
萬物互聯(lián)美好時代背后也隱藏著諸多風險,相較互聯(lián)網(wǎng)時代的威脅,物聯(lián)網(wǎng)信息安全問題更多元、更復雜、更疊加。如果從“軟件基因”的視角看物聯(lián)網(wǎng)網(wǎng)絡威脅攻擊防御的基本面的話,至少可以有以下一些結論:
一是目前網(wǎng)絡空間安全威脅已經出現(xiàn)由對抗黑客向對抗黑產的重大轉變?,F(xiàn)在炫耀自身技術的小黑客已經越來越少了,取而代之的是越來越完整的黑產利益鏈,有組織、有目的的攻擊越來越多,應對需要更多元的技術體系。
二是各個著名物聯(lián)網(wǎng)僵尸網(wǎng)絡家族木馬直接的關聯(lián)性越來越強。由于部分開源武器曝光,降低了發(fā)起大規(guī)模物聯(lián)網(wǎng)網(wǎng)絡攻擊的行動門檻,也加大了各個木馬家族的代碼關聯(lián)性。目前殺毒軟件在提高識別精準度的同時,一般不會給一個樣本多個名字,只會依據(jù)自己的特征庫及算法把病毒歸于某一類,但這種現(xiàn)狀事實上為用戶的響應處置帶來了一些困惑,特別是對有家族和成規(guī)模的網(wǎng)絡攻擊威脅。
三是網(wǎng)絡攻擊識別響應應當從面向個體的分析加速向面向群體的分析拓展。特征檢測本質上是面向個體的分析,特征庫越來越大,大數(shù)據(jù)、AI等技術引入特征識別,將有效提升分析的精度。但同時也應注意,在提升精度的同時,如何由點及面,擴展分析的廣度,有待業(yè)內不斷進行思路和技術方法創(chuàng)新。