僵尸网络是一种由攻击者通过在大量互联网主机上植入特定控制程序而秘密建立的,可远程、间接控制的,用于发起网络与信息安全攻击的计算机群,除了窃取用户信息外,它还可以被用来发送海量垃圾邮件,甚至发动大规模网络攻击(如DDOS攻击等),是目前威胁主机安全的一个重要因素。僵尸网络因为有远程连接,建立通道,所以必然存在受控者与主控端的通讯行为,我们称这种行为为CC通讯。对cc通讯的发现有几种方法,分享下,欢迎交流。
1、流量监测
流量监测中使用最多的就是蜜罐系统和IDS系统。蜜罐系统可以对攻击者访问的日志信息进行网络行为分析,从僵尸网络的流量中找到某一家族的行为特征。(例如通过什么方式进入系统中,是邮件还是应用层漏洞或者是协议漏洞,)对该家族的僵尸网络进行攻击手法剖析,并持续进行监测分析,发现僵尸网络通过更新后特征的变化,发现僵尸网络家族的变化规律。当使用蜜罐发现僵尸网络的变化规律后其实就可以进一步预测该僵尸网络的行为特征的变化规律。把该僵尸网络的攻击手法、特征变化规律加入到现网的IDS中,在出口对整网络的僵尸网络进行监测,发现该僵尸网络在网络中的规模,评估该僵尸网络的影响和损失比。
2、逆向分析
在攻击追踪定位过程中,样本的逆向分析是非常重要的一部分。通过网络部署沙箱设备,对进出的文件进行还原,通过静态启发式检测判断样本文件是黑白灰文件,黑、灰文件丢到虚拟机环境,把样本放入模拟的主机进行行为分析,对样本进行打分。并对可疑度非常高的样本(打分高表示严重)进行人工逆向分析,确定木马属于哪个家族、连接的隐匿CC、恶意行为等。对样本的逆向分析是非常准确的方法,可以评估僵尸网络的目的和维护程度。
3、受害主机取证分析
在发现僵尸网络cc中,计算机主机取证,是监测cc的重要方面。随着信息安全技术的发展,通过网络炫耀技术已经不再是黑客制作木马的目的,更多考虑的是如何让自己的恶意软件在受害主机中长期潜伏。以获取更大的经济利益为目的。恶意软件为了不被发现,利用各种方式隐藏自己,例如rookit操作系统内核、Powershell无文件落地等。不管使用多磨牛逼的技术,僵尸网络总会和主控端通讯,在主机层监测主机通讯的网络,再结合系统日志,进行上机取证。发现隐匿的cc链接。
4、机器学习
在发现僵尸网络cc的网络攻击检测中 , 机器学习可看作是为了通过监督或者无监督的学习,从样本中提取输入参数,使用大量样本进行训练,并反复调整参数和迭代。提高检测僵尸网络cc的能力 。把机器学习技术应用于僵尸网络的检测中 , 对网络中产生的大量数据流进行分析 , 并通过学习算法自动产生规则 , 把这些规则编译进专家系统 , 对僵尸网络cc进行安全检测 , 从而自动化的识别僵尸网络攻击能力。
微信公众号:透雾
