◎上海戎磐網(wǎng)絡科技有限公司 劉旭

伴隨萬物互聯(lián)時代到來，物聯(lián)網(wǎng)安全也日益凸顯。美國最新公布的《2016—2045年新興科技趨勢報告》認為，到2045年，將有超過1千億的設備連接在互聯(lián)網(wǎng)上，隨著物聯(lián)網(wǎng)發(fā)展以及常用連接越來越多，網(wǎng)絡安全將成為網(wǎng)絡行業(yè)的首要話題。在眾多物聯(lián)網(wǎng)網(wǎng)絡攻擊威脅的樣式中，通過控制物聯(lián)網(wǎng)傳感器發(fā)起大規(guī)模DDoS攻擊的案例呈爆發(fā)趨勢，值得關注和警惕。

需要說明的是，看似DDoS攻擊對普通個人似乎并沒有多大影響，而實際上卻可能嚴重影響人們的生活和工作，甚至威脅國家和互聯(lián)網(wǎng)的安全。當DDoS僵尸網(wǎng)絡執(zhí)行攻擊時，物聯(lián)網(wǎng)傳感器這些“肉雞”也都屬于受害者。2016年10月，美國域名服務商Dyn遭到大規(guī)模物聯(lián)網(wǎng)僵尸網(wǎng)絡DDoS攻擊，導致美國東部大面積不能正常上網(wǎng)。同年11月底，造成德國90多萬臺路由器和固定電話的網(wǎng)絡癱瘓，就是因為相關物聯(lián)網(wǎng)設備被植入Mirai家族木馬并執(zhí)行DDoS攻擊造成的網(wǎng)絡堵塞。著名的Gafgyt僵尸網(wǎng)絡于2014年8月第一次被發(fā)現(xiàn)，特別是2014年末在Lizard Squard（Xbox Live）與PlayStation Network的DDoS攻擊發(fā)生后變得更加有名。2015年1月Gafgyt的源代碼被公開，目前Gafgyt也是存在最多變型的惡性代碼。在全球控制物聯(lián)網(wǎng)節(jié)點超過10萬。而黑客的攻擊目標也從小范圍的網(wǎng)絡目標，升級到商業(yè)之間的競爭、國家金融服務，甚至國家之間的政治、軍事行動等等。如今，DDoS僵尸網(wǎng)絡搭建的簡易性和廉價性，給互聯(lián)網(wǎng)安全和我們?nèi)粘Ｉ詈凸ぷ髟斐傻耐{日趨嚴峻，維護網(wǎng)絡安全發(fā)展仍然任重道遠。

傳統(tǒng)網(wǎng)絡安全分析技術大都基于特征檢測，總體看，在經(jīng)過近10余年的發(fā)展，在識別、檢測、響應、處置網(wǎng)絡安全威脅方面積累了大量規(guī)則數(shù)據(jù)，誕生了大量新型安全技術。但也存在一些短板，比如個體識別向群體識別邁進不足，在提升防御精度的同時擴展廣度能力有限等等。因此，行業(yè)里已經(jīng)出現(xiàn)一些企業(yè)創(chuàng)新提出“軟件基因”的新型思路，以全新視角看待網(wǎng)絡空間。

一、軟件基因視角

“軟件基因”技術借鑒生物基因認識生命本源的思想，提出以“基因”視角認識網(wǎng)絡空間并解決多種網(wǎng)絡安全技術痛點，是和傳統(tǒng)基于“特征檢測”并行的技術路線，是我國自主首創(chuàng)全球領先的基礎性創(chuàng)新技術?！败浖颉奔夹g圍繞軟件本身“同源未必相似、相似未必同源”的安全屬性，從軟件代碼的“遺傳性”和“變異性”兩方面進行了系統(tǒng)技術驗證，打破了傳統(tǒng)安全主要基于“特征檢測”的技術路線，為新型網(wǎng)絡安全技術發(fā)展與應用提出了新的研究方向。橫向看，2017年3月，維基解密曝光大量美國CIA網(wǎng)絡武器庫，其中的Umbrage項目通過收集大量公開的黑客工具、攻擊技術、泄露數(shù)據(jù)等信息，通過模仿、混淆等方法生成新工具，發(fā)起迷惑對手、嫁禍于人、隱藏自己網(wǎng)絡攻擊，有一定“基因混淆”的思想，但具體進展不詳。國外一些研究人員近年來提出針對軟件的胎記（Birth Mark）識別，本質(zhì)仍是基于特征的，主要用于對軟件的知識產(chǎn)權檢測，并不針對網(wǎng)絡空間。

二、以軟件基因視角看待Mirai家族和Gafgyt家族的關系案例

Mirai家族和Gafgyt家族都是著名的物聯(lián)網(wǎng)僵尸網(wǎng)絡木馬家族，以其樣本為研究分析對象，利用上海戎磐網(wǎng)絡科技有限公司惡意代碼軟件基因分析引擎核心產(chǎn)品，繪制樣本基因圖譜，生成基因關聯(lián)分析熱力圖，可以得到以下結論：

（一）分析樣本

第一組是Gafgyt組：包含推測變種的Gafgyt和兩個對照樣本。

第二組是Mirai組：包含與變種樣本相似度較高的三個Mirai樣本。

（二）基因分析

我們利用基因分析引擎將一組Gafgyt和Mirai樣本通過基因檢測的方式進行分析后得出了一張熱力圖（圖1）。圖中坐標軸數(shù)字是樣本的編號，顏色深淺表示樣本相似度，顏色越紅表示相似度越高，反之則越淺。

我們除了看出1-4，5-22基本屬于同一類衍生樣本之外，發(fā)現(xiàn)了1號Gafgyt樣本與同組相似度一般，反而與5-22大部分Mirai樣本有很高的熱力值。借此，本文將對于疑似變異Gafgyt樣本與其他Mirai進行更進一步的分析。

（三）逆向分析

1、Gafgyt組分析結果

圖1 樣本基因分析熱力圖

1）全部都在.rodata前段找到大量存儲的linux系統(tǒng)指令，包括用戶登陸和調(diào)用網(wǎng)絡通信。

2）在相同內(nèi)存段后段找到大量存儲的提示字符串。

3）在三個樣本中都找到了不同的IP通訊地址，疑似是惡意代碼用來通訊和傳輸?shù)牡刂罚瑢λ械刂防眯抛u引擎進行惡意信譽查詢，可以判定：

2、Mirai組分析結果

1）在.rodata段后段存儲了許多加密過的數(shù)據(jù)，與Gafgyt不同（圖 2）。

尋找部分并解碼后發(fā)現(xiàn)名為Table_Killer_Safe的函數(shù)，繼續(xù)搜索發(fā)現(xiàn)很多類似命名的函數(shù)，執(zhí)行的功能推測是關閉telnet,http,ssh等接口防止被其他類似功能病毒感染。

2）三個樣本都存儲了密碼數(shù)據(jù)（圖3）

abcdefghijklmnopqrstuvw012345678類似密碼的數(shù)據(jù)，也都調(diào)用了watchdog。

3）在d9fe3d7436659fca1ddc54的Mirai樣本中發(fā)現(xiàn)了IP地址185.244.25.153，通過信譽引擎查詢，發(fā)現(xiàn)該IP提供下載了 8UsA.sh 等文件。

與Gafgyt變異樣本所下載文件相同，如下圖所示：

將上面代碼整理后得到：

圖2.rodata段后段存儲的加密數(shù)據(jù)

圖3 樣本存儲的密碼數(shù)據(jù)

4）分析結果

通過上面的分析，我們對比了在熱力圖中顯示疑似變異的Gafgyt樣本（簡稱變異樣本）與另一組中部分Mirai樣本。發(fā)現(xiàn)了變異樣本和自身同組其他Gafgyt樣本具有類似的文件內(nèi)容，確實符合Gafgyt的分組。同時，也發(fā)現(xiàn)了變異樣本與另一組Mirai樣本通過IP調(diào)用了同樣的.sh腳本文件，從運行方式上與Mirai樣本也有著相似度。

所以我們可以得到這樣的結論，從特征檢測的角度出發(fā)，我們可以把樣本按照預制的規(guī)則區(qū)別成Mirai和Gafgyt，但這種識別和區(qū)分事實上會給實際應對和處置工作帶來困惑。因此，如果從基因視角看，則是面向群體的結論，即：mirai_4147e375f325878fe3c3962c3d4ac411c47ddbef同時擁有兩種不同類型樣本的基因，包括了Gafgyt，因此在應對時應增加更多的機制與算法。

三、結論

萬物互聯(lián)美好時代背后也隱藏著諸多風險，相較互聯(lián)網(wǎng)時代的威脅，物聯(lián)網(wǎng)信息安全問題更多元、更復雜、更疊加。如果從“軟件基因”的視角看物聯(lián)網(wǎng)網(wǎng)絡威脅攻擊防御的基本面的話，至少可以有以下一些結論：

一是目前網(wǎng)絡空間安全威脅已經(jīng)出現(xiàn)由對抗黑客向?qū)购诋a(chǎn)的重大轉(zhuǎn)變?，F(xiàn)在炫耀自身技術的小黑客已經(jīng)越來越少了，取而代之的是越來越完整的黑產(chǎn)利益鏈，有組織、有目的的攻擊越來越多，應對需要更多元的技術體系。

二是各個著名物聯(lián)網(wǎng)僵尸網(wǎng)絡家族木馬直接的關聯(lián)性越來越強。由于部分開源武器曝光，降低了發(fā)起大規(guī)模物聯(lián)網(wǎng)網(wǎng)絡攻擊的行動門檻，也加大了各個木馬家族的代碼關聯(lián)性。目前殺毒軟件在提高識別精準度的同時，一般不會給一個樣本多個名字，只會依據(jù)自己的特征庫及算法把病毒歸于某一類，但這種現(xiàn)狀事實上為用戶的響應處置帶來了一些困惑，特別是對有家族和成規(guī)模的網(wǎng)絡攻擊威脅。

三是網(wǎng)絡攻擊識別響應應當從面向個體的分析加速向面向群體的分析拓展。特征檢測本質(zhì)上是面向個體的分析，特征庫越來越大，大數(shù)據(jù)、AI等技術引入特征識別，將有效提升分析的精度。但同時也應注意，在提升精度的同時，如何由點及面，擴展分析的廣度，有待業(yè)內(nèi)不斷進行思路和技術方法創(chuàng)新。