LEET 2010:關(guān)注威脅、攻擊網(wǎng)絡(luò)事件
2010-08-15 00:48:57楊望
中國(guó)教育網(wǎng)絡(luò) 2010年6期
LEET 2010:關(guān)注威脅、攻擊網(wǎng)絡(luò)事件
4月,第三屆大規(guī)模攻擊和緊急威脅討論會(huì)(Workshop on Large-Scale Exploits and Emergent Threats,簡(jiǎn)稱 LEET)在美國(guó)加州的圣何塞市召開(kāi)。這是一個(gè)USENIX舉辦的小型安全討論會(huì),自2008年起每年舉辦一屆。盡管規(guī)模不大,但參加者都是來(lái)自企業(yè)的一線安全人員和研究機(jī)構(gòu)中的資深科學(xué)家。LEET關(guān)注的是大規(guī)模和新出現(xiàn)的威脅、攻擊網(wǎng)絡(luò)事件以及對(duì)應(yīng)的解決方法。今年的LEET共包括四個(gè)Session,分別是:僵尸網(wǎng)絡(luò)(Botnet)、威脅測(cè)量(Threat Measurement and Characterization)、威脅檢測(cè)和消除(Threat Detection and Mitigation)、新的威脅和挑戰(zhàn)(New Threats and Challenges)。
1 僵尸網(wǎng)絡(luò)
Botnet
僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)公認(rèn)的最大威脅之一,龐大的Botnet成為各類網(wǎng)絡(luò)犯罪(分布式拒絕服務(wù)攻擊,垃圾郵件,帳號(hào)竊取等等)的基礎(chǔ),并且迄今為止一直缺少有效的抑制僵尸網(wǎng)絡(luò)的方式。這次會(huì)議的兩篇文章分別從不同角度討論Botnet的組織結(jié)構(gòu),希望能為檢測(cè)和抑制僵尸網(wǎng)絡(luò)的攻擊提供新的思路。
來(lái)自加州大學(xué)伯克利分校的Chia Yuan Cho等撰寫的“Insights from the Inside: A View of Botnet Management from Infiltratio”介紹了他們?nèi)绾瓮ㄟ^(guò)偽裝技術(shù)進(jìn)入一個(gè)以發(fā)送垃圾郵件為主的僵尸網(wǎng)絡(luò)MegaD,根據(jù)他們持續(xù)4個(gè)月的觀測(cè),現(xiàn)有的僵尸網(wǎng)絡(luò)不再是單一的控制機(jī)構(gòu),在MegaD中,垃圾郵件的發(fā)送控制被不同的服務(wù)器控制,根據(jù)角色可以把它們分為命令控制服務(wù)器、程序下載服務(wù)器、模板下載服務(wù)器和郵件發(fā)送服務(wù)器。在觀測(cè)過(guò)程中,他們還發(fā)現(xiàn)了MegaD遭受來(lái)自安全組織FireEye關(guān)閉行動(dòng)之后,僅通過(guò)1周時(shí)間就不能恢復(fù)到超過(guò)被關(guān)閉之前的垃圾郵件發(fā)送量,說(shuō)明僵尸網(wǎng)絡(luò)的存活能力非常強(qiáng)。
來(lái)自北卡羅來(lái)納大學(xué)的Chris Nunnery等撰寫的“Tumbling Down the Rabbit Hole: Exploring the Idiosyncrasies of Botmaster Systems in a Multi-Tier Botnet Infrastructure”介紹了他們?nèi)绾螐奈募途W(wǎng)絡(luò)Trace分析一種新的P2P僵尸網(wǎng)絡(luò)Waledac,Waledac是著名蠕蟲(chóng)的Storm的一種后續(xù)發(fā)展。Nunnery等人發(fā)現(xiàn)Waledac的命令控制服務(wù)器呈現(xiàn)了一種復(fù)雜的多層控制體制。
2 威脅測(cè)量
Threat Measurement and Characterization
威脅測(cè)量的三篇論文主要討論了虛假防病毒軟件、惡意網(wǎng)頁(yè)和P2P的隱私泄漏問(wèn)題。
來(lái)自Google的Moheeb Abu Rajab等人的“ The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution”對(duì)目前互聯(lián)網(wǎng)上的虛假防病毒軟件(Fake Anti-Virus Software)進(jìn)行統(tǒng)計(jì)。和一般的惡意軟件不同,虛假防病毒軟件通過(guò)欺騙用戶付費(fèi)來(lái)刪除其實(shí)不存在的惡意程序來(lái)獲利。根據(jù)Google在過(guò)去13個(gè)月中的搜索,共有11000多個(gè)域名和傳播虛假防病毒軟件相關(guān),占總惡意網(wǎng)頁(yè)相關(guān)域名的15%,并且其絕對(duì)數(shù)量和相對(duì)數(shù)量仍在不停增長(zhǎng),Google預(yù)計(jì)這種形式的惡意軟件將成為通過(guò)網(wǎng)頁(yè)傳播的惡意軟件的主流。
來(lái)自法國(guó)的Stevens Le Blond等人的Spying the World from Your Laptop:Identifying and Profiling Content Providers and Big Downloaders in BitTorrent對(duì)目前最流行的P2P軟件BT的隱私性進(jìn)行了測(cè)試,發(fā)現(xiàn)現(xiàn)有BT協(xié)議的漏洞,只要進(jìn)入P2P網(wǎng)絡(luò),一臺(tái)主機(jī)就可以對(duì)網(wǎng)絡(luò)中的其他主機(jī)進(jìn)行信息收集。作者在103天中通過(guò)下載20億個(gè)文件一共對(duì)1億4800萬(wàn)個(gè)IP地址進(jìn)行了監(jiān)測(cè)。
來(lái)自微軟的Jack W. Stokes等人的“WebCop: Locating Neighborhoods of Malware on the Web”介紹了如何通過(guò)基于主機(jī)的防病毒軟件和搜索引擎結(jié)合來(lái)對(duì)遍布互聯(lián)網(wǎng)的惡意網(wǎng)頁(yè)進(jìn)行檢測(cè)。作者的基本思路是通過(guò)防病毒軟件獲得包含惡意軟件的網(wǎng)頁(yè)信息,然后通過(guò)搜索引擎發(fā)現(xiàn)鏈接到包含惡意軟件的網(wǎng)頁(yè),并對(duì)這些惡意網(wǎng)頁(yè)的“社區(qū)”中的網(wǎng)頁(yè)進(jìn)行檢測(cè),從而發(fā)現(xiàn)更多的惡意軟件。
3 威脅檢測(cè)和消除
Threat Detection and Mitigation
本次會(huì)議中的威脅檢測(cè)方法中,基于域名的黑名單是重點(diǎn),有兩篇文章從不同角度討論了黑名單的擴(kuò)展問(wèn)題。
來(lái)自美國(guó)加州大學(xué)伯克利分校的Mark Felegyhazi等人的On the Potential of Proactive Domain Blacklisting從域名的注冊(cè)信息來(lái)進(jìn)行黑名單的推理工作。通過(guò)對(duì)比注冊(cè)時(shí)間、注冊(cè)人和注冊(cè)服務(wù)器信息,作者從一個(gè)已知的黑名單域名可以推出3~15個(gè)新的可疑域名,經(jīng)過(guò)后期第三方安全組織的驗(yàn)證,其中93%的預(yù)測(cè)域名被認(rèn)為是可疑的,73%的域名則最終進(jìn)入了安全組織的黑名單。作者認(rèn)為這種預(yù)反應(yīng)的黑名單比后反應(yīng)的黑名單可以提前2天進(jìn)行預(yù)警,從而達(dá)到更好的黑名單效果。
來(lái)自日本NTT的Kazumichi Sato等人的Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries則從DNS解析行為來(lái)進(jìn)行黑名單的推理工作。作者認(rèn)為目前的惡意軟件都會(huì)使用多個(gè)域名保證惡意網(wǎng)絡(luò)的存活,感染主機(jī)對(duì)這些域名的解析行為也應(yīng)該具有相似性,因此通過(guò)對(duì)比主機(jī)對(duì)已知黑名單中的惡意域名和其他域名的訪問(wèn)頻度等方面,可以發(fā)現(xiàn)新的惡意軟件使用的域名。但他們的方法目前有較高的誤報(bào)率,相對(duì)于上一篇文章的方法效果有限。
4 新的威脅和挑戰(zhàn)
New Threats and Challenges
本次會(huì)議的新威脅部分介紹了幾種不同類型的新攻擊或威脅形式,如基于Latex文檔的病毒傳播和基于聊天的新社會(huì)工程學(xué)攻擊。
來(lái)自美國(guó)加州大學(xué)圣迭戈分校的Stephen Checkoway等人的“Are Text-Only Data Formats Safe? Or, Use This LaTeX Class File to Pwn Your Computer”介紹了如何通過(guò)Latex文件制作病毒,傳統(tǒng)上認(rèn)為只有包含宏功能的Word文件才能傳播病毒,但作者證明通過(guò)Latex的宏集定義也可以完成同樣的功能。
來(lái)自EUROCOM的Tobias Lauinger等人的“Honeybot, Your Man in the Middle for Automated Social Engineering”則展示了一種新的攻擊方式,通過(guò)機(jī)器人偽裝人類進(jìn)行多步聊天來(lái)欺騙普通的計(jì)算機(jī)用戶點(diǎn)擊惡意網(wǎng)頁(yè)鏈接,這種方式相對(duì)于傳統(tǒng)的基于郵件和聊天軟件的方式有更高的成功率,在作者的實(shí)驗(yàn)中,有70%的用戶點(diǎn)擊了他們發(fā)送的鏈接。
(翻譯:楊望)
