DarkComet远控木马行为监控分析

作者:{Mureloy}@ArkTeam

原文作者:Brown Farinholt etc.

原文题目:To Catch a Ratter: Monitoring the Behavior of Amateur DarkComet RAT Operators in the Wild

原文会议:38th IEEE Symposium on Security and Privacy,MAY 22-24, 2017 AT THE FAIRMONT HOTEL, SAN JOSE, CA

近年来,远控木马(Remote Access Trojan)不断地被攻击者用来远程控制和信息窃取,对网络安全带来了严重的威胁。DarkComet又称”暗黑彗星”,是一款国内外知名的远控类木马。此款木马运行后可执行大量的恶意行为,不仅记录并上传受害者输入的密码、摄像头的内容等隐私信息,还可根据服务器的指令执行下载文件、启动程序、运行脚本等控制操作,甚至还能以被控制的电脑作为跳板,对其它目标发起DDoS等网络攻击[1]。来自于S&P会议的这篇文章介绍了一套完整的实验过程,利用实验获取的数据详细分析了攻击者的地理分布情况以及攻击者的行为动机。实验流程如图所示:

在样本收集阶段,作者选用VirusTotal平台,通过部署YARA规则的方式获取样本;

在提取配置信息阶段,作者使用了一款RAT decoder解析工具,获取了大量关于:版本号,主机群组号,攻击者地址列表等信息;

在扫描阶段,Zmap和Shodan分别用来扫描端口和日志分析;

控制端监控阶段通过DNS解析,控制端监控等方式,及时更新木马信息;

攻击者行为监控阶段分为两部分,首先是筛选活样本,其次是蜜罐的部署。蜜罐用来记录攻击者和用户之间的命令控制信息,以便于后续使用收集的信息重组攻击者的行为,进而挖掘攻击者的最终目的。

在行为重组阶段,作者利用从步骤二获取的密码对流量解密,设计了一个综合的网络签名集合。该集合综合了静态分析和命令测试,如果流量解密后满足已有的网络签名,则会返回相应的行为。

通过以上实验设计,作者获得以下发现:

从控制端IP地址分布情况来看,俄罗斯和土尔其的IP地址占比较高,但也不排除攻击者使用了VPN;

攻击者和目标机交互常用的方式为:远程桌面/命令;

攻击者常见行为包括:远程桌面,窃取密码,访问URL,删除文件,使用命令行,

攻击者动机:18%的行为最终目的是勒索用户,41%的行为最终目的是窃取用户信息,50%的行为最终目的是获得用户证书,45%的行为是为了访问用户,63%的行为是访问摄像头,31%的行为是安装键盘记录;

启示:在防御方面,类似实验中用到的蜜罐还是很有发展前景的,可以用来感知攻击者采用的手段并记录相应行为,从而更有效的维护企业整体的安全稳定。

参考文献:

https://guanjia.qq.com/news/n1/201608/03_313.html

论文下载地址: https://www.ieee-security.org/TC/SP2017/papers/380.pdf

发表评论

电子邮件地址不会被公开。 必填项已用*标注