鏈接:
https://blog.rootshell.be/2015/12/02/botconf-2015-wrap-up-day-1/
https://blog.rootshell.be/2015/12/03/botconf-2015-wrap-up-day-2/
https://blog.rootshell.be/2015/12/04/botconf-2015-wrap-up-day-3/
下面是一些與會議相關的 數字:
第一篇Keynote演講來自歐洲刑警Margarita Louca :“Successful botnets takedowns: The good-cooperation part”(成功拿下僵尸網絡:良好合作部分)。更準確的說,是EC3(“歐洲網絡犯罪中心”)。這一演講屬于“限制級”,在這里只能公開部分信息。歐洲刑警組織屬于強制性執法機構(負責處理僵尸網絡的基礎設施并抓捕其所有者)。在重新回到EC3后,Margarita Louca又重新審查了一些成功的取締行動。但是,就像她說的,這里仍然存在大量的問題(技術問題、行政問題等):由于缺少資源,法院指令并不能適用于僵尸網絡的判決。Margarita舉例說明了為什么Shylock取締活動為什么并不成功。有一部分基礎設施很難去關停。Margarita給出的例子是.su域名。當局會面臨下面的這些挑戰:
有時候,當地法律也會成為問題。例如,在荷蘭,IP地址就屬于個人數據。不錯的開頭!
接著,是Maarten van Dantzig 和 Jonathan Klijnsma。Ponmocup演講的“Ponmocup,the full story: A giant hiding in the shadows”(Ponmocup,陰影中的巨人),雖然Ponmocup并不是最新出現的(在之前的Botconf中就涉及過),但是仍然在活動中(從2006年開始)。
Ponmocup中有多個組織的參與,很可能是俄國人主導的。Ponmocup感染了大量的受害者,其目的也不是單一的。Ponmocup還利用了沒有記錄的Windows API調用。首先,Maarten & Jonathan介紹了受害者是如何被感染的。這個木馬實現了一些技巧來欺騙安全研究人員,比如特定的訪問來源、cookie、IP黑名單等。并且,他們還利用了一些技術來防止木馬被直接下載。另外,如果嘗試的太頻繁,你就會被加入到黑名單。除了反分析功能,木馬還會檢查進程、用戶名、驅動、顯示器分辨率、近期打開的文檔、瀏覽器歷史記錄、安裝的程序等。干得好!在安裝階段,木馬會重置系統的恢復點,并禁用系統的恢復功能。木馬還會打開防火墻,并禁用UAC功能。每當感染一個主機,木馬就會根據卷序列號創建一個唯一的文件。每個副本對于目標而言都是獨一無二的。Ponmocup最出色的一點:實際上這個木馬是一個包括了多個已知模塊(25個)的框架:AV killers, SOCKS proxy, SIP scanners, FTP stealers, 系統信息收集器, Facebook cookie stealer, Bitcoin錢包盜取器等 。這個木馬還能對抗污水池技術:域名都不是在同一時間全部部署的,而是根據有效載荷的版本進行分組。政府的取締行動只能影響部分僵尸網絡。演講人檢查了木馬的多個功能,這些功能之間的配合很讓人吃驚。總的來說, Ponmocup:
Fox-IT公布了更多詳細信息:報告與IOC
為了對抗污水池技術,域名都不是在同一時間全部部署的,而是根據有效載荷的版本進行分組。政府的取締行動只能影響部分僵尸網絡。干的不錯!
接下來是一次短討論,演講人是Alexander Chailykto 和 Aliaksandr Trafimchuk。這次討論的標題是“DGA clustering and analysis: mastering modern, evolving threats”(DGA分類與分析:掌握現代威脅的進化旅程)。DGA(域名生成算法)是現代木馬中很重要的一部分。率先使用這項技術的是Conficker。
DGA造成的問題:
他們開發了一個叫做 DGALAB的工具。這個工具支持下面的這些DGA類型:
DGALAB有哪些特征:
這個工具基于Cuckoo沙盒和Cuckoomon,可以在VMware中作為管理程序運行,可以固定在虛擬環境和特定的內核中。最后,他們演示了這個工具在整合到現有解決方案(如防火墻、IDS)中是多么的實用。
午飯后,Zoltan Balazs進行了一次短討論:“Sandbox detection for the masses: leak, abuse, test”(沙盒檢測:泄露、濫用和測試)。Zoltan首先問了觀眾幾個問題。事實上,每個人都會面臨這樣的問題。木馬會檢測我們的沙盒,所以我們需要更強大的沙盒系統。
木馬開發者可以很容易地檢測出沙盒的存在。Zoltan利用VirtualBox快速地進行了演示。常見的問題有:
另外,用戶的電腦桌面經常會是一團糟,可以監控CPU使用,網絡連接。教訓是:有很多繞過動態分析的方法。給沙盒開發者的建議:再努力些。這是一次短討論,但是值的關注,Zoltan提到了很多有意思的信息。我喜歡!
然后,來自CERT.p的Lukasz Siewierski發布了一篇叫做 “Polish threat landscape”(“波蘭威脅規模”)的演講。Lukasz 講了一家波蘭公司遭到社會工程襲擊的故事。其他國家的一些公司也在面臨相同的問題。
其攻擊方案非常經典:發一封郵件,有人回信,再用假冒的NDA發第二封。一旦入侵了這家企業,攻擊者就會竊取客戶名單,并發給他們虛假的發票。Lukasz在分析完技術后,又說明了一個更嚴重的情況。Lukasz解釋了這家公司是怎么反應的,他們起訴了一名記者,假裝自己沒有遭到攻擊,客戶信息也沒有泄露。有趣的故事!
Gavin O'Gorman討論了“Butterfly attackers”(蝴蝶攻擊者)。Symantec命名這個間諜小組叫做Butterfly,3年以來,他們入侵了一些大公司。同樣沒有記錄,沒有信息披露。
接著,來自思科的Veronica Valeros演講了“Make it count: An analysis of a brute-force botnet”(分析爆破僵尸網絡)。她研究說:我們通常首先會分析木馬一開始的幾分鐘。那么一周、一個月會怎么樣呢?
她發現了一個看似普通的樣本,但是在幾天后,這個樣本開始有其他的行為…下載了一個新的有效載荷并開始執行爆破攻擊。這個樣本的攻擊目標是WordPress網站。我們并不意外這樣的網站數量龐大。下面是一些關于這次攻擊數字:
和前面的討論一樣,這次討論也很有趣。
Frank Denis 展示了他的研究: “The missing piece in threat intelligence”(網絡情報中缺失的一環),Frank正在 OVH 任職,能接觸到一些惡意活動的源頭。
ISP必須應對各種問題。比如,托管服務濫用、入侵等,這類問題很難管理。IP地址就是一個很好的例子。IP地址可以分配給不同的用戶,而新的用戶會繼承這個IP的名譽。 這樣就可能對他的業務造成影響。另外,有些廠商的行為很不好,僅僅是重復使用在線服務提供的數據。比如,有些廠商會攔截IP地址,僅僅是因為這些IP的: 評分>0! Frank解釋了ISP是如何應對并追蹤這些問題。然后,他提出了一種結構化語言來描述ISP所采取的行動。比如,IP地址可以被標記位:
當然,接下來的挑戰是如何讓其他同仁也使用相同的語言。為此,Frank開發了一個叫做ERIS的工具能幫助使用DIP協議。這樣做有很多好處:
這種想法不錯。現在的目標是讓其他人知道這個工具和協議的存在。
Marc Dioudet 談論了 “Honey!? Where is my POS?”(親,我的POS在那里?)他的研究目標是想要更好的理解POS木馬使用的技術和過程。
在簡單地查看了一個標準POS系統后,Marc解釋了他部署用來創建POS蜜罐的解決方案。在僅僅三小時后,他就抓到了一個Morto木馬感染。他還說明了為什么這個蜜罐很難吸引攻擊者。一開始,他把服務器放在了廣泛使用chip & pin的德國。在他把服務器轉移到美國后,他捉到了更多木馬。
最后,John Bambenek 再次討論了僵尸網絡的取締,題目叫做 “Takedowns; case studies ad what we all could be doing better”(取締,案例研究,我們怎樣才能做的更好)。與Margarita一樣,他解釋了為什么組織一次僵尸網絡取締會這么困難。
John提到我們如今面臨的問題有:我們在競賽中已經落后了,我們注定要失敗。不過好消息是,我們會有很多活干。什么是取締?需要根據:
事實上:為什么我們需要干掉僵尸網絡?John解釋道,這是因為大多數人無法購買廠商部署的昂貴的產品。一次取締活動就是一次瓦解活動,因為需要實現新的防火墻規則、黑名單、DGA列表等。這些措施都是有效的嗎?不總是,而且更糟的是,這些措施有副作用。通常,攻擊者在幾個小時內就可以恢復行動。并且這樣經常會造成附帶傷害。John以Conficker感染醫用設備為例,這些設備管理的心臟起搏器會怎樣呢?John調查了一些比較不錯的僵尸網絡取締案例:
第一篇來自Daniel Plohmann關于DGA的討論:“DGArchive – A deep dive into domain generating malware”(深入研究域名生成木馬)。像往常一樣,開篇就是對DGA的審查,基本上沒什么新內容(昨天已經都說過了)。去年,Daniel只是稍微介紹了他的項目,今天他展示了自己的研究成果。
DGA的小歷史:
DGA是現代木馬的一個重要特征。為什么DGA會得到廣泛地使用?
更重要的是,DGA讓安全研究人員很頭疼。這種研究原理是逆向DGA,生成所有的域名,并創建一個數據庫來執行查詢和統計。其目標是查詢一個域名,然后數據庫返回相關的木馬。直到今天,Daniel發現了:
大量的DGA使用了長域名(相反的,商業域名都是盡可能地短)。很重要的一點是,種子會影響域名的生成。Daniel采取的過程是:
接著,Daniel用大量的材料解釋了每個木馬家族是如何生成域名的。然后,接下來的問題是:域名注冊?根據Whois數據庫,他發現了這些域名、污水池、解決方案、預注冊和域名停靠的特征。關于DGA的問題是:它們可靠嗎?如果算法之間發生沖突該怎么辦,會不會對有效域名的生成造成風險?在這種情況下,會對有效域名的所有者造成災難性的影響。是的,這種算法沖突是可能的。但是還不足以幫助我們根據生成的域名來對木馬進行分類。
下一篇演講的重點是Andromeda僵尸網絡。Jose Miguel Esparza討論了“Travelling to the far side of Andromeda”(前往 Andromeda的另一端) 。這次討論的不是要逆向僵尸網絡(因為已經有大量可用的信息),而是討論僵尸網絡背后的人。
關于 Andromeda的幾點信息:
Andromeda更新了反分析等新功能,以及一個黑名單程序(甚至python.exe和perl.exe)。在最新發布的版本中,參數是以JSON的形式發送的。另外注意,重建二進制時的通訊是通過XMPP而不是通過IRC實現的(標準通訊仍然是通過HTTP實現的)。木馬開發者還經常會留下一些信息,比如包含有“fuckyoufeds”的虛假信息。一個很有趣的特點:Andromeda不會感染位于某些地區的計算機,比如俄羅斯(根據鍵盤布局確定位置)。Andromeda會根據服務來收費,下面是目前的一些報價:
并且這個僵尸網絡仍然在活動中,下面是一些統計:
結論:這個項目仍然在活動,相關的業務也在進行。好幾個犯罪團伙都在使用Andromeda,并且Andromeda具有一些很有趣的自定義插件。不錯的綜述!
在早上喝過咖啡后,Nikita Buchka 和 Mikhail Kuzmin討論了“Whose phone is in your pocket?”(你的口袋里是誰的手機?)。安卓是不錯的木馬攻擊目標。在2015年第三季度,150萬多個惡意程序被檢測到。現在的攻擊趨勢就是利用超級用戶權限。
大多數惡意程序都是廣告軟件,一般是通過植入了木馬的廣告來進行感染。他們解釋了安卓上的多廣告模式是如何運作的。并且最重要的是,攻擊者是如何濫用這些模式。即使攻擊者濫用了某個活動來傳播木馬,那些品牌也會很高興,因為他們的品牌也算是從中受益了。大多數廣告軟件會嘗試root設備來獲取權限。怎樣獲取權限呢?安卓的安全模式是基于:
但是,這里有問題:
“zygote” 是一個守護進程,其目的是啟動安卓程序。為了安卓木馬,需要下面的過程:
當廣告軟件還不足夠時,可以安裝其他惡意代碼。一個很好的例子是Triada:Triada自帶有SMS木馬、銀行木馬、更新模塊,與CC通訊。他們解釋了木馬是怎樣感染的設備。應對方案是什么?
下一個議題還是DGA:“Building a better botnet DGA mousetrap: separating mice, rats and cheese in DNS data”(創建一個更好的僵尸網絡DGA捕鼠器:區別DNS數據中的小老鼠、大老鼠和奶酪)(Josiah Hagen)。
第四次討論了DGA...我想現在我們都知道了黑客會利用這項技術來混淆bot與CC之間的通訊。在這次的討論中,還涉及到了機器學習。下午,我們還開玩笑說把“Botconf”改成“DGAconf”算了。
Apostolos Malatras 很風趣的討論了移動僵尸網絡,更確切的說,是如何在實驗室中研究這些僵尸網絡。(“Building an hybrid experimental platform for mobile botnet research” 創建一個綜合性的實驗平臺來研究移動版僵尸網絡)。如果前面的討論都集中在木馬是怎樣攻擊安卓設備,那么這次討論就是安裝在這些受感染設備上的僵尸網絡是如何運作的。事實上,這與常規僵尸網絡的運作方式沒有差別:受感染的設備會等待僵尸主控發送的命令。
你要記住,一臺移動設備就是一臺計算機,但是移動設備中還包含有大量的機主信息(利益豐厚)。并且這些移動設備還會連接其他的計算機,接入企業網絡。這些移動設備上有大量的傳感器,并且越來越多的用作移動錢包。下面是移動設備使用的一些技術:
僵尸網絡的架構也有很多:集成型,分層型、混合型和P2P型。所有這些架構都需要在實驗中囊括到。僵尸網絡也要滿足一些要求:必須原生支持大量的實驗,必須可量化,可擴展并且要有足夠的可用性。Apostolos檢查了某種架構的各個組件(Java技術、Android模擬器,Android調試橋、XML配置文件、用于創建事件的傳感器模擬器)。這樣做的目的是為了測試移動版僵尸網絡,并觀察其操作。僵尸網絡還會根據不同的方案執行不同的事件。下一個問題是:“移動木馬的開發者需要用多久才能測試繞過Android模擬器呢?”實際上,很簡單(僅僅利用IMEI就可以)。詳細的內容請參閱這篇文章。在Apostolos之后,Laurent Beslay又介紹了“Mobile botnet malware collection”(移動版僵尸網絡木馬收集),基本上是EU在介紹自己的服務。他們正在招人,并已經啟動了項目來交換移動僵尸木馬方面的信息
午飯后,Paul Jung 上臺講了“Box botnets”。好消息:他沒有講到IDA。故事開始于日志文件中出現的一個奇怪的HTTP請求。
攻擊者會將惡意腳本隱藏在像GIF這樣的文件中,從而嘗試持續感染目標網站。惡意代碼經常會利用字符串str_rot13(),gzuncompress()來進行混淆。使用在線工具ddecode.com/phpdecoder就可以解碼。Paul提醒說:大多數提供在線服務的網站,比如這個網站,會保留用戶上傳的數據。注意你的敏感數據。那么怎樣才能感染一個主機呢?這個方案需要:
根據這一描述,常見的攻擊目標有VPS。然后采用一些小技巧,比如更改更改進程名稱,從而攔截所有的信號,避免進程被殺掉。另外,木馬還會通過一個“竊取”函數通過郵件或特定的HTTP請求來泄露服務器信息。一旦感染,加入到僵尸網絡的服務器就可以:
通過使用多個搜索引擎(Paul發現了37個),他們可以查找新的潛在受害者。接下來主要討論了是誰在幕后操控這些bot。這個小組叫做 Toolsb0x。雖然這種入侵方法不是最新的,但是仍然很有效。
然后,我們又討論了大量的匯編代碼: Matthieu Kaczmarek提出了“Malware instrumentation: application to Regin analysis”(木馬插樁:應用到Regin分析)。如今的現代木馬都很復雜。為什么選Regin?因為這是一個僵尸網絡。其網絡拓撲就是一個僵尸網絡。
要知道,木馬通訊可以通過UDP、TCP、cookie、文件、USB磁盤實現。你還需要一個打開世界的窗口。在網絡中的每個節點上都有一個私鑰以及一個可信公鑰列表,每個節點還都有一個虛擬的IP地址。這種設計是以服務為導向的架構,包括有下面的模塊:
在解釋了Regin使用的技術后,Matthieu演示了兩個Regin模塊之間的通訊。在演示中,這兩個節點交換了一條“hello”信息。看起來很簡單,但是要想逆向所有的東西可需要大量的時間。干的很出色!
在喝完咖啡后,Mark Graham討論了“Practical experiences of building an IPFIX based open source botnet detector”(實踐根據開源botnet檢測器來創建一個IPFIX)。Mark的問題是什么:如何有效地在云供應商那里檢測僵尸網絡?Mark說,在云上可是尋找僵尸網絡活動的好地方。他首先簡單的介紹了IPFIX (說實話我真不知道這是什么)。
人人都知道Netflow (Cisco在2009年創建),但是基本沒人知道IPFIX是什么(大部分Botconf的觀眾都不知道)。Netflow存在哪些問題?
IPFIX是在2013年發明出了的。IPFIX的一大優勢在于需要存儲。Mark進行了一次測試,并轉出了一個3.1GB的PCAP文件,但是只有43KB的IPFIX文件。PCAP就像是手機通話,而IPFIX就是通話賬單(和誰通話,什么時間,通話了多久)。更準確的說,IPFIX開發出來就是為了解決下面的問題:
第二部分講的是基于Xen & OVS (Open vSwitch)的傳感器開發。Mark解釋說,他遇到的問題是必須組件的不同版本問題。一旦創建和配置好了,接下來的問題就是找到合適的位置來連接探測器。網絡視野是一個關鍵點。只要在合適的位置連接上合適數量的探測器,我們就能找到有用的信息,但是系統還是有限制:
Mark提出的解決辦法是創建一個擴展模板,使用DNS和HTTP參數(比如通過引用頁的cookie、age)。不錯,也讓我了解了IPFIX。
下一篇演講,Tal Darsan介紹了巴西的威脅情況(“The dirty half-dozen of the Brazilian threat landscape”巴西威脅概況)。今天的巴西在經歷什么?他們使用Delphi,VB腳本和C#。他們使用了封裝器:CPL 和 VBE 趨勢。Themida 封裝器。他們有獨特的詐騙地下社區,全面的攻擊途徑,把惡意程序捆綁到合法工具上。你可以購買到教程,學習詐騙。那么哪些攻擊最流行呢?
很好的調查了巴西威脅!下面的這個網站上可以購買服務來學習“黑客攻擊”:http://www.hackerxadrez.com.br/
Ya Liu 是今天最后一位演講者:“Automatically classifying unknown bots by the register messages”(根據注冊人信息自動分類未知bot)。這一研究的思路是根據計算機在感染后,與CC交換的信息來判斷僵尸網絡。
如今,每天都會出現大量的木馬變種,必須要有新技術才能區分它們。大多數木馬都可以劃分到已知的木馬系列,比如zbot或darkshell。它們都有一個共同點:需要與CC通訊。Ya的思路是分析這些木馬是如何注冊到CC上的(在成功感染后執行的第一個操作)。在注冊信息中包含有主機名、IP、CPU、OS、版本等信息。Ya研究了這些信息是如何編碼的,以及如何發送到CC上。有趣的研究!
這里是第三天的會議總結。第一篇討論來自Yonathan Klijnsma,他介紹了Cryptowall的歷史概況。Cryptonwall分為多個版本,并經過了幾代的發展。這個勒索軟件最早出現在2013年9月,具有獨立的ID,利用HTTP進行CC通訊。
Yonathan研究了這個勒索軟件的通訊協議。Cryptonwall使用了代理和Tor來連接其CC服務器。有可能他就是根據Cryptonwall的通訊才識別出了這個木馬。Cryptonwall還給受害者提供了多種支付贖金的選項。第一版的Cryptonwall支持143種文件類型,而Cryptonwall 3.0已經支持了312種。在調查各個版本的過程中,Yonathan也弄明白了各個版本之間的不同,比如加密方法的變化,使用的協議版本(有些版本使用I2P而不是Tor,但是I2P并不是很可靠)。Jonathan評價說:當你在披露木馬信息時,一定要小心。因為木馬開發者會加入各種論壇、社交網絡來監控我們。不要使用TLP:WHITE來交流這樣的信息。下面是一些有趣的發現:
如果你對這個木馬很感興趣,Yonathan發布了一些好玩的工具 。
然后,Renaud Bidou 登臺探討了Javascript(“Powered by Javascript”)。有沒有人在botnet中發現過Javascript?為了各種不同的目的!
Renaud演示了“你只需要JS就能實現這些任務。”當然,JS注入是基于XSS漏洞實現的。他說“XSS就可以看做是緩沖區溢出。”
在說完XSS之后,他又依次說明了如何用Javascript來實現上述的各種惡意目的。為了保證持續性,必須要通過load.js入侵瀏覽器(Javascript代碼會重新加載自己并從外部URL中加載代碼)。他還演示了如何使用包含有代碼的PNG圖像。為了實現CC通訊,必須使用twitter來獲取命令。今天,誰會攔截Twitter呢?Javascript還非常便于操作:
你還可以研究研究Sniffly,很有趣的一次攻擊活動。Renaud總結說,完全由Javascript組成的木馬是可能的。
下一名演講者Jeremy du Bruyn,討論了DarkComet (“Inside DarkComet: a wild case-study” 深入DaekComet:一個瘋狂的案例研究)。他首先展示了一些研究數據:8萬3千個DarkComet樣本,4萬個配置文件,2萬5千個CC,751次滲透。他非常了解這個木馬。
DarkComet是一個看似合法的RAT。這個木馬的功能就像是一個全鍵盤,能夠控制遠程主機、執行命令、記錄鍵盤輸入等。DarkComet有兩個組件:CC和bot本身。Jeremy演示了和講解了一個配置樣本(已經解密)。DarkComet使用了靜態秘鑰,版本不同使用的秘鑰也不同。然后,Jerem講解了木馬在感染受害者時,從CC上獲取的初始配置。每隔20s,就發送一條活動信息。這種設計非常高效:盡可能的隱藏木馬,可以擴展木馬的功能,具備反調試功能,支持使用協議,可以收集樣本,符合botnet規則(botmaster能夠正常識別)。在介紹完這個木馬后,他又開始討論對于樣本的分析(4萬個)。大部分樣本使用了動態DNS(約40%)來聯系CC。有趣的是,已經發現的最大bot(8000名受害者)位于法國!這個bot的CC隱藏在了一名居民的ADSL連接上。他解釋了自己是如何借助QUICKUP漏洞的幫助,破壞了其中的某些CC。
然后,討論了ANSSI。這在Botconf上可不常見,題目是“Air-gap limitations and bypass techniques: command and control using smart electromagnetic interferences”(隔離限制與繞過技術:使用智能電磁干擾進行命令與控制,Chaouki Kasmi, José Lopes Estves)
首先,隔離是什么意思?不同的IT系統可能設置了不同的安全級別和信任級別(互聯網,內網和關鍵服務)。隔離指的是移除系統中的所有通信通道,形成物理孤立。隔離也有缺點:
但是“哪里有河,哪里就有橋”,怎么繞過隔離呢?
或者使用RF!他們演示了如何使用“Intentional Electromagnetic Interference”來修改一臺正常運行的計算機。他們的實驗是基于法拉第籠中的一臺設備。給計算機造成了多個影響:PS/2連接錯誤,USB連接錯誤,以太網連接錯誤,導致設備重啟。他們是怎么來處理這些問題的呢?
下一篇討論是來Google的Elie Bursztein 和 Jean-Michel Picod提出的 “Inside traffic exchange networks”(深入流量交換網絡)。在這份報告中沒有提到太多關于“流量交換”的內容,而是討論了交換web流量(SEO)的一種方法。Google很關心這個話題,因為其中存在很多問題…演講者要求我們不要泄露討論內容,所以我們沒法提供更詳細的信息。但是,你可以在這里找到一篇有趣的文章。
午飯后,Peter Kleissner討論了“Sality”。Sality在2003年出現在俄羅斯,并感染了很多文件。這個botnet有很多目的,利用了一個P2P算法來竊取信息,發送DDoS攻擊或發送垃圾郵件。
這個botnet感染了200萬+主機,全球范圍內總共感染了400萬臺,雖然沒有走向前臺,但是這個botnet仍然活躍在今天。根據樣本中的昵稱和郵箱地址,我們應該能猜出Sality的作者是誰?什么受害者會被感染呢?原因為簡單,沒有給系統打補丁,并且沒有使用AV產品。這個botnet發動DDoS攻擊了Virustracker:攻擊了4次,從1Gbps到120Gbps。Peter解釋了botnet是如何利用了P2P算法,以及其他一些特征。
下一篇是Olivier Bilodeau 提出的“A moose once bit my honeypot”(一只曾被我的蜜罐咬過的麋鹿)。這里的麋鹿指的是Moose。一個內嵌的Linux botnet。
所有的IoT設備(智能電視 、IP攝像頭、冰箱、路由器等)都有相似的特征:
為什么Moose這樣的botnet會是威脅呢?因為,難以檢測,難以應對和修復。對于壞人來說,這樣的設備就是壞人眼中的蘋果。Oliver研究了木馬的運作方式,以及開發者實現的一些功能。更詳細的信息在這。
最后一篇來自Thomas Barabosch“Behaviour-driven development in malware analysis”(分析木馬中的行為驅動開發)。這份報告研究了如何逆向惡意代碼?Thomas的動力是什么?木馬分析很無聊!這是一項日常任務,需要重復,投入大量的時間。這些代碼僅僅是從asm翻譯成更高級的語言,但是怎么保證可靠性呢?解決辦法:改善這一過程!
他提出了兩種方法:TDD-測試驅動型開發和BDD-行為驅動型開發。簡單地說:這樣做的目的是使用開發技術和過程,并將其應用到逆向工程中,從而改善逆向過程。但是,有趣的是,和眾多學術研究者一樣,他們說的并不容易立刻實現。
這就是最后一天了。會議在董事會的總結下閉幕。下面是一些統計數字:
下一次會議會在Lyon 20/11-02/12舉辦。
