以文件为中心的 IoT 恶意软件网络分析

工作来源

IMC 2022

工作设计

分析方式

利用 CnCHunter 以两种模式分析恶意样本文件：

• 使用 QEMU 模拟执行，确定使用的 C&C 服务器。本研究专注于 MIPS 架构下 32 位可执行文件，能够以九成的精度检测 C&C 服务器

• 使用武器化的二进制文件探测特定的 IP 端口，以此识别 C&C 服务器

使用 InetSim 模拟 DNS、HTTP 等网络服务，避免因网络不可用而导致执行失败。

分析 C&C 服务器

去掉 P2P 的恶意样本，将剩下的样本在沙盒中运行查找 C&C 服务器。针对获取的 C&C 服务器地址，再通过 VirusTotal 判断是否为恶意进行交叉验证。

发现二进制文件那天查询一次 VirusTotal，2022 年 5 月 7 日再次查询。如果一个 C&C 服务器只在第二次查询时被判断为恶意，则认为未命中。两次查询都未知的，手动与 Miari、Gafgyt、Tsunami 与 Daddyl33t 的 C&C 流量进行比较。

受限于发现样本的延迟，C&C 服务器可能已经失效。所以针对子网的特定端口（1312、666、1791、9506、606、6738、5555、1014、3074、6969、42516、81）进行主动探测，每次探测的时间间隔为 4 小时。

分析漏洞利用

首先确定恶意软件用于扫描与攻击的端口服务，根据样本通联不同 IP 数量超过阈值（20）来判断。接着在该端口上创建一个套接字，重定向流量到本地端口获取下一个 IP 地址。使恶意软件与虚假目标完成握手连接，收集恶意软件发送的 Payload。据此，成功从 197 个样本中提取了针对 12 个漏洞的攻击行为。

分析 DDoS 攻击

让能够联系上 C&C 服务器的恶意样本在受限模式（只允许 C&C 流量）下运行 2 小时，使用两种方式发现 DDoS 命令：

• 利用已知的 Mirai、Gafgyt 与 Daddyl33t 的 C&C 协议，直接捕获 DDoS 命令。其中，Mirai 是二进制协议、Gafgyt 与 Daddyl33t 是文本协议。

• 通过计算发送到非 C&C 服务器 IP 地址的数据包数量以及每秒数据包的速率，超过阈值（100 包/秒）的话最后一个 C&C 命令就会被视为 DDoS 命令。

对收集的流量进行手动复核，一共发现下发了 42 个命令。

工作准备

2021 年 3 月至 2022 年 3 月，利用 VirusTotal 与 MalwareBazaar 收集了 1447 个恶意样本文件，分别属于七个恶意软件家族（Mirai、Gafgyt、Tsunami、Daddyl33t、VPNFilter、Mozi、Hajime）。

恶意软件家族名使用 AVClass 进行合并，但存在问题是会将 Mozi 分类为 Mirai。因此，也使用了 Yara 规则来进行辅助分类。

形成如下五类数据集：

在伦理上也做了充分的考虑，没有人会因为分析研究而受到伤害：

• C&C 检测时并不需要真的连接互联网

• 漏洞攻击的受害者是模拟的，不会产生实际的攻击

• DDoS 流量都被过滤掉

• 探测子网时也只允许 C&C 通信

工作评估

C&C 服务器部署

一年内，C&C 服务器出现在 128 个自治系统中。其中，10 个自治系统相关的 C&C 服务器占比超过 69.7%，如下所示。

60% 的自治系统会持续出现，如下为 10 个最常见的 C&C 服务器的生命周期：

IP SERVER LLC (AS-44812) 和 Aperion Global (AS-13988) 在最后四周内变得更加活跃。这些服务提供商中 70% 都在美国、俄罗斯与荷兰，30% 接受加密货币支付。

通常来说，下载的服务器与 C&C 的服务器是一致的。漏洞利用中下载的 47 个地址中，只有 12 个不是 C&C 服务器。

C&C 服务器生命周期

60% 的样本都在发现样本的那天请求了失效的 C&C 服务器，这可能与共享文件的延迟有关。80% 的生命周期不到一天，平均为 4 天。

有域名的 C&C 地址也是类似的，如下所示：

没有任何 C&C 服务器在一天内完整响应六次探测，91% 的 C&C 服务器在成功探测四小时后不会响应第⼆次探测。

威胁情报有效性

60% 的 C&C 服务器与不止一个二进制文件存在关联。如下所示，40% 的 C&C 服务器与单个二进制文件有关，20% 的 C&C 服务器与超过 10 个二进制文件有关。

有域名的 C&C 地址也是类似的，如下所示：

发现二进制文件的当天，15% 的 C&C 服务器没有在威胁情报列表中出现。与恶意 IP 相比，恶意域名的检测迟滞性更差。

很多威胁情报厂商甚至连已知 C&C 都检测不到，只有 25% 的已知 C&C 服务器被一个以上的厂商检出。聚合多来源数据的黑名单需要考虑，避免增加误报。

针对厂商进行了咨询，但是只有少数厂商做出了回应。但从数据上来说，有 44 个引擎将数据集中至少一个 C&C 地址检出，另外 45 个引擎没有检出任何 C&C 地址。能检出至少 20% 的 C&C 地址的 TOP 20 厂商如下所示：

漏洞利用情况

利用了 14 个不同的漏洞，平均存在年限为 3 年，如下所示。其中 9 个存在时间都超过了 4 年。即便是最新的漏洞，也存在了 5 个月。这些漏洞中，只有三个漏洞厂商提供了补丁，五个漏洞能够通过防火墙来提供防护，两个漏洞只能同通过更换设备来缓解。

NVD、EDB 和 OPENVA 都不可能穷尽所有的漏洞利用，需要全面考虑所有的数据来源保证更好的覆盖度。

有四个漏洞被攻击者持续大量使用，其余漏洞的使用强度较低。

下载的程序文件名也都是类似的：

DDoS 攻击情况

通过对 C&C 流量的监控，捕获了位于 6 个国家/地区的 17 个 C&C 服务器发出的 42 次 DDoS 攻击指令。发起攻击的 C&C 服务器通常具有更长的生命周期，平均为 10 天。

攻击者总共使用了 8 种类型的 DDoS 攻击，其中两种是针对游戏服务器的。如下为各个家族的攻击类型统计：

具体每种类型的攻击，在此不过多赘述，感兴趣的可以检索相关内容或者阅读原文。

从大类上来说，74% 流量都是与 UDP 协议相关。而且，大约 25% 的攻击目标会被两种不同类型的攻击进行攻击。

攻击目标所在的自治系统中，45% 是 ISP、36% 是托管服务提供商。其余是针对企业的攻击，如谷歌、亚马逊与 Roblox。这与此前的研究也是一致的，而且 18% 的自治系统是游戏行业相关的。

工作思考

研究人员认为这些样本是具有代表性的，但受限于数据视野，这种程度的测量可能与庞大的恶意软件生态仍然存在巨大的鸿沟。不过，构建类似的恶意软件分析流水线是十分有必要的。

原文始发于微信公众号（威胁棱镜）：以文件为中心的 IoT 恶意软件网络分析