多元網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù)在物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)監(jiān)測中的研究與應(yīng)用

陳 松 徐 寧 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 南昌市 330038

0 前言

當前，國際社會高度關(guān)注網(wǎng)絡(luò)空間安全問題，網(wǎng)絡(luò)空間不僅已成為國民經(jīng)濟命脈和軍隊神經(jīng)系統(tǒng)，而且已經(jīng)成為陸地、海洋、天空、太空之外的第五維國家安全領(lǐng)域。在我國，隨著物聯(lián)網(wǎng)演進發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)愈加復雜，網(wǎng)絡(luò)的不可管、不可控性使得融合后的互聯(lián)網(wǎng)、工控網(wǎng)絡(luò)存在大量的安全隱患[1]。其復雜程度和危害程度逐步升級，較傳統(tǒng)網(wǎng)絡(luò)，具有攻擊源異構(gòu)化、攻擊行為演化等特點。由于物聯(lián)網(wǎng)技術(shù)還處于發(fā)展初期，物聯(lián)網(wǎng)設(shè)備安全基礎(chǔ)幾乎為零，在如今物聯(lián)網(wǎng)設(shè)備爆發(fā)式增長的趨勢下，物聯(lián)網(wǎng)設(shè)備所帶來的威脅日趨明顯，其中僵尸網(wǎng)絡(luò)和DDoS攻擊已經(jīng)成為物聯(lián)網(wǎng)設(shè)備的主要威脅[2]。對物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的研究，首先要發(fā)現(xiàn)新的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。本文重點研究物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)的采集技術(shù)，為后期物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的客觀測量及溯源追蹤提供數(shù)據(jù)支持。

1 技術(shù)原理研究

物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的數(shù)據(jù)采集監(jiān)控是以發(fā)現(xiàn)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)為目的，主要采用的技術(shù)手段以分布式蜜罐節(jié)點接收的攻擊數(shù)據(jù)包和節(jié)點流量為主。各種高仿真攻擊目標蜜罐端點監(jiān)控：通過高仿真攻擊者的各種攻擊目標并投放對攻擊者具有吸引的目標數(shù)據(jù)，誘使攻擊者對蜜罐進行攻擊，而蜜罐則實時監(jiān)控攻擊者對蜜罐的所有操作，保存捕獲攻擊者投放的文件等，并將捕獲到的文件實時傳送到沙箱進行威脅鑒定識別，同時也將蜜罐捕獲到的攻擊數(shù)據(jù)情報化處理回傳網(wǎng)絡(luò)安全威脅數(shù)據(jù)分析系統(tǒng)[3]。通過在經(jīng)常被作為攻擊目標的對象部署端點探頭監(jiān)控設(shè)備，進行24小時實時監(jiān)控受害者系統(tǒng)的通信數(shù)據(jù)流量，識別和還原真實通訊內(nèi)容和文件格式，作為基礎(chǔ)的原數(shù)據(jù)信息，用于后期推向沙箱進行動態(tài)行為分析。

此外，通過高仿真物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)被控的“僵尸肉雞”，實現(xiàn)與攻擊者控制服務(wù)器進行24小時實時通訊交互監(jiān)控，獲取攻擊者控制服務(wù)器的遠程控制指令數(shù)據(jù)情報并自動化解析出攻擊目標威脅情報數(shù)據(jù)，將得到攻擊目標的威脅情報向威脅態(tài)勢感知系統(tǒng)發(fā)送，作為威脅態(tài)勢感知系統(tǒng)分析威脅的原數(shù)據(jù)最重要來源。

圖1為物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)監(jiān)測原理圖。

圖1 物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)監(jiān)測原理圖

2 多元網(wǎng)絡(luò)數(shù)據(jù)采集方法路線研究

蜜網(wǎng)以感知攻擊為主要目的，獲取境內(nèi)外黑客的攻擊方法、攻擊采用的網(wǎng)絡(luò)設(shè)施、攻擊采用的武器為主要目的。黑客攻擊的目的比如APT、竊密、勒索。從采集的原始信息來說主要是PCAP數(shù)據(jù)包和投放的文件以及系統(tǒng)操作信息，從數(shù)據(jù)包中可以提取的信息主要包括掃描IP、腳本sh文件、URL、樣本實體。從而達到捕獲流行活躍攻擊樣本、放馬地址、攻擊漏洞、黑客組織網(wǎng)絡(luò)設(shè)施、黑客入侵事件的目的。

前端蜜罐探針與后端高交互蜜罐集群相結(jié)合，將針對這些IP地址的探測掃描及攻擊流量、攻擊URL、攻擊樣本等分類后發(fā)送到后端蜜罐集群，后端蜜罐集群部署有承載各類系統(tǒng)的虛擬機節(jié)點，由對應(yīng)的蜜罐節(jié)點與攻擊者進行交互，記錄攻擊方法及捕獲攻擊樣本。

2.1 探測采集威脅數(shù)據(jù)

通過初步采集的URL、樣本、C&C進一步的探測和高交互蜜罐監(jiān)控可以使初步蜜網(wǎng)數(shù)據(jù)的信息進一步的擴展，獲得更多的攻擊數(shù)據(jù)、攻擊樣本和攻擊意圖信息。

主動探測輔助獲取最新的惡意URL，則可定期遍歷惡意放馬服務(wù)器文件的變化，端口變更。對惡意URL可以持續(xù)周期性探測獲取活性和可能的樣本。

C&C探測，對放馬URL的IP進行C&C探測和協(xié)議識別，從下面的例子可發(fā)現(xiàn)放馬URL和C&C經(jīng)常在一個IP上，黑客的資源也是有限，放在一個服務(wù)器上的概率大。

舉例：基于特征b33a589d3627bc6f2e5bd0e6b42f 53b6，探測到URL http://198.98.122.172/cunty.sh，進而截取獲得IP 198.98.122.172，針對這個IP進行端口探測和協(xié)議識別198.98.122.172:50

圖2 批量進行探測的結(jié)果格式

2.2 流量采集

采用活性樣本高交互蜜罐養(yǎng)殖和模擬監(jiān)聽的方法對黑客C&C服務(wù)器進行監(jiān)控。從木馬或僵尸網(wǎng)絡(luò)的C&C監(jiān)控中獲取升級的腳本、傳播的payload、URL。該數(shù)據(jù)情報具有第一時間性，是一個僵尸網(wǎng)絡(luò)第一時間發(fā)起的，比蜜罐采集到的數(shù)據(jù)更加提前。

流量采集主要采用臥底養(yǎng)殖方式獲取C&C下發(fā)指令，通過低交互加入、高交互養(yǎng)殖加入物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，監(jiān)聽最新的攻擊指令和流量數(shù)據(jù)。

一些攻擊指令：

killall cd /tmp;wget http://183.60.202.12:123/4.32;chm od 777 4.32;./4.32;

killall & iptables -D INPUT -s 198.74.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **4.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall ;pkill 3897;./3897

killall wget -P/tmp http://2*2.1*6.5*.212:5890/1

killall wget -P/tmp http://2*2.1*6.5*.212:5890/1

可以提取到到放馬更新升級的URL如圖3所示。

圖3 抓取木馬升級URL截圖

3 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)“肉雞”監(jiān)測情況統(tǒng)計

自2018年1月1日至6月30日，隨機對不同家族的11個C2的僵尸肉雞進行了抽樣特征監(jiān)測，獲取了肉雞IP 33661個。

3.1 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)“肉雞”設(shè)備類型

通過捕獲的“肉雞”進行設(shè)備類型分析，以Windows、Linux和IoT設(shè)備作為分類范圍，其中IoT設(shè)備類型的肉雞最多，占比61.37%；其次是Linux設(shè)備類型的肉雞，占比20.85%，Windows設(shè)備類型肉雞僅占比17.78%。

IoT設(shè)備因其漏洞較多、漏洞修復周期較長，且易于入侵、控制，而成為黑客們喜歡抓取的肉雞類型。在統(tǒng)計數(shù)據(jù)中，涉及的IoT設(shè)備廠商包括華為、中興、H3C、大華等，其中442個肉雞設(shè)備屬于華為的IoT設(shè)備，240個屬于中興的IoT設(shè)備，1142個屬于H3C的IoT設(shè)備。

對于Linux設(shè)備類型，攻擊者多通過22、23端口進行弱口令爆破以實現(xiàn)對肉雞的控制。而針對Windows設(shè)備類型的肉雞，黑客多通過利用“永恒之藍”漏洞結(jié)合各家族的病毒、木馬，以實現(xiàn)對肉雞的抓取。

圖4 肉雞設(shè)備類型

3.2 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)“肉雞”分布地區(qū)

對獲取到的33661個肉雞IP進行分析定位發(fā)現(xiàn)，其中33555個肉雞IP位于中國。對國內(nèi)的肉雞IP定位進行匯總分析，得出以下部分肉雞在國內(nèi)部分省份的分布情況。位于江蘇和浙江的肉雞IP較多，分別為5961個和5899個。從地理分布上看，肉雞IP多位于沿海城市，我國的沿海城市從北到南依次為山東省、江蘇省、浙江省、福建省和廣東省，這五個省份的肉雞數(shù)量均位列前十。

圖5 國內(nèi)部分肉雞分布情況

4 總結(jié)

本項目采用了多元數(shù)據(jù)協(xié)同，多種采集渠道、深度分析識別樣本DDoS屬性，并進行相關(guān)僵尸網(wǎng)絡(luò)的臥底監(jiān)控，針對全球范圍的僵尸網(wǎng)絡(luò)的DDoS攻擊活動進行了持續(xù)的監(jiān)測，并產(chǎn)出了大量的數(shù)據(jù)，突破性的完成非合作區(qū)域的DDoS監(jiān)控數(shù)據(jù)的采集，同時，多元網(wǎng)絡(luò)數(shù)據(jù)采集為后期的物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的威脅智能識別及物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的追蹤溯源提供數(shù)據(jù)支持。

從DDoS攻擊的發(fā)展歷程，我們不難看出，在如今這個虛擬網(wǎng)絡(luò)已經(jīng)嵌入我們現(xiàn)實生活的社會里，DDoS攻擊無疑是一個巨大的安全隱患。伴隨著DDoS工具的廉價性、易獲取性，以及各僵尸網(wǎng)絡(luò)家族的快速增長，利用物聯(lián)網(wǎng)設(shè)備組建僵尸網(wǎng)絡(luò)發(fā)起攻擊的現(xiàn)象日益嚴峻，與此同時，移動端的僵尸網(wǎng)絡(luò)亦處于萌芽階段，網(wǎng)絡(luò)安全之路可謂任重道遠。