动静皆宜||轻量级仿真在botnet IoC提取中的应用
2020-07-28 13:05:00 Author: www.4hou.com(查看原文) 阅读量:346 收藏

728-XCon文章配图-01.jpeg

IoC(Indicators of Compromise)提取是botnet对抗的重要一环,无论是后续的封堵还是跟踪,都依赖从样本中提取到的C2这类IoC信息。目前最常用的IoC自动提取技术是沙箱。

某些家族因为IoC在样本中的保存格式和位置相对固定,因此也可以用静态读取的方式来抽取。由于这种技术不需要执行指令,因此我们称之为静态提取。

从技术层面分析,这两种方法各有优缺点,其中沙箱技术使用广泛相对成熟,技术门类也更加丰富,但却存在一些经典的问题,比如:对抗(sandbox evasion)、通信加密等。

728-XCon文章配图-02.jpeg

另外,如果碰到样本内部集成了多个C2的情况,使用沙箱得到的IoC往往不够完整。静态提取则依赖于精准的获取IoC在样本中的存取位置并知晓其格式,非常适用于那些不怎么变化的家族,比如Linux的XOR.DDOS、Elknot/BillGates这些家族。

然而,在真实的应用场景中,多数家族会出现新变种的情况,这样的变形令静态提取的可用性有所降低,需要投入更多的维护精力才能跟上变化。

面对实际中的复杂多变,本届XCon会议中,来自360网络安全研究院的安全分析资深专家刘亚及安全分析专家金晔将带来议题《轻量级仿真在botnet IoC提取中的应用》,分享他们在过去的几年中,运用LWE提取Mirai、Gafgyt以及Emotet这些流行家族IoC时所学到的知识和经验,并结合实例介绍基于LWE提取IoC的一般性原理和方法,在对技术的持续探究中,帮助参会者获得应用与实践层面的提升。

轻量级仿真在botnet IoC提取中的应用

议题简介

本议题将介绍一种目前较少谈及的IoC提取技术:基于轻量级仿真(LWE: Lightweight Emulation)的IoC提取,它兼具了静态和动态分析两种技术的特点。

与沙箱技术相比,LWE只执行样本中的一小部分代码,因此执行时间和要处理的数据量都要小很多。同时,由于目标执行代码是经过选择的,所以通常不存在对抗问题。跟静态提取相比,LWE技术依赖的是行为模式而不是精准的代码或数据特征,因此也能够更好的适应变种的情况。

在实际应用中,基于LWE的IoC提取技术存在较大的灵活性,往往特定于具体要处理的botnet家族,体现在目标代码的定位和行为模式的抽象上。另外,LWE技术通常可以跟其它技术结合起来使用,如:对于加壳样本,可以在沙箱运行后从dump文件中寻找感兴趣的代码进而运用LWE技术获取更多的IoC信息。

基于LWE进行IoC提取的公开资料相对较少,因此本议题具有较强的创新性。同时本议题的研究紧贴实际,围绕目前仍在流行的botnet家族来介绍具体的技术及其应用,希望参会者能够了解基于LWE进行IoC提取的思想,同时能掌握其在具体家族中的应用,为实际的工作提供切实的帮助。

本议题将着重展现如下内容:

1,LWE的原理和发展背景

2,LWE在Gafgyt和Mirai等家族中的应用

3,开源LWE仿真器Tracecorn和基于Tracecorn的TIAN介绍

4,LWE在Emotet家族IoC抽取中的应用

演讲者

728-XCon文章配图-03.jpg

刘亚

360网络安全研究院安全分析资深专家。从事过高交互蜜罐软件的开发和维护,目前从事botnet的流量分析、样本自动化分析和botnet跟踪等方面的工作。曾多次在Botconf和VBConference以及xKungfoo等国内外会议上分享Linux botnet/malware方面的知识和经验。

金晔

360网络安全研究院安全分析专家。主要从事Windows、Linux IoT平台大规模僵尸网络的发现、分析和追踪工作,以及IoC自动化抽取系统的设计和开发。

XCon2020 第19届 安全焦点信息安全技术峰会

c88feef314d20c8ce0f100877fa3007b.png

会议时间:2020年8月19-20日

XCon安全焦点信息安全技术峰会(XFocus Information Security Conference),始于2002年,是国内首个信息安全行业技术峰会,现已发展成为国内“最知名、最权威、举办规模最大”的信息安全会议之一。

秉承“严谨求实、精进探索”的会议精神,XCon持续致力于信息安全行业生态体系的建设与发展。凭借前瞻性的技术分享、权威性的技术交流、开放性的人才培养成功吸引了两百余位国内外知名安全专家、技术人才、一线安全从业者,为国内信息安全行业优质生态的构建提供了“人才、技术、创新模式”等基础,也为信息安全从业者、爱好者构建起友好和谐的交流平台。

2020年,经历过疫情的沉淀与思考,XCon再度活力启程。更主流的形式、更精彩的议题、更深度的探索、更丰满的干货,期待你的加入!最新活动资讯,请关注XCon官方微信!

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/p7Kp
如有侵权请联系:admin#unsafe.sh