利用大数据分析方法发现C&C服务器通讯

宋欢、刘纬、唐锡南


        一、 概述


        C&C服务器的全称是Command and Control Server,即“命令及控制服务器”。因感染bot程序而被黑客控制的计算机(又称肉鸡)需要与C&C服务器通讯,一是向服务器报告自身情况以及上传敏感信息;二是接收服务器发出的控制指令,进行DDoS攻击、挖矿、勒索等恶意行为。


        由大量受感染计算机和黑客控制者之间形成的一种一对多的可控制的网络,称为僵尸网络(Botnet)。国外研究公司针对全球僵尸网络的活动研究表明,2017年出现了9500多台僵尸网络的 C&C 服务器,比去年增长32%。这一数字(9500+)包括了由多种类型设备(不仅仅是物联网设备)组成的僵尸网络的C&C服务器 IP 地址[1]。另外,Shodan公司的研究人员表示在2017年年中,他们检测和发现在中国内地托管C&C服务器有301台(全球有5734台)[2],这些研究报告和结果都表明僵尸网络存在着巨大的安全隐患,其带来的威胁仍然是当前国际上十分关注的网络安全问题。


        应对和消灭僵尸网络的方法有很多,其中最有效的方法之一是发现并切断被感染计算机与C&C服务器之间的通讯,这样使得黑客无法再对受感染计算机进行控制,从而减少恶意行为的发生,减少用户的损失。因此,如何有效发现和确认僵尸网络的C&C服务器是一个很有价值的研究方向。。




        二、 特征分析


        众所周知,发现一个僵尸网络是非常困难的。因为黑客控制者通常使用远程方法隐蔽地控制分散在网络上的“僵尸计算机”,而这些计算机的拥有者往往并不知情。


        我们所关注的内网安全,主要从网络流量研究入手。根据公开的资料文献,僵尸网络中存在传播扫描、可疑长连接通讯、周期性心跳等3种明显特征。我们使用南京云利来(www.ido-net.net)自主开发的网络全流量分析产品iTAP,实时地捕捉网络中每一个网络请求和响应,解析出网络和应用层元数据,利用大量网络数据验证了上述3种特征,对发现C&C服务器具有一定的帮助。具体特征分析如下:


1.传播扫描

        当黑客成功控制某个网络中的一台计算机后,会想办法继续感染该网络中的其他机器,发展个人的“下线”。常用方法是利用最新漏洞主动出击,例如2017年5月爆发的WannaCry勒索病毒[3],其传播模块会不停地扫描内网其他机器的445端口,并且尝试利用漏洞入侵。


2.可疑长链接

        被感染的计算机会主动或收到控制命令后去下载文件装载其他攻击模块,或存在恶意挖矿行为[4]。


3.周期性心跳

        很多时候黑客利用恶意程序自动地感染了网络中的计算机,但他无法确认哪些计算机成功被感染,也不能主动得知被感染计算机的状态。所以会设置一种寻找C&C服务器的方法,让被感染的计算机主动与C&C服务器联系。被感染的计算机一般通过特定域名或IP以及特定的端口号定期地向C&C主机发送心跳数据包,我们称之为周期性心跳[5]。

        上述三种特征还需结合本地自主构建的、网络上公开的和商业性的威胁情报资源,然后通过对网络流量的分析,可以快速发现和定位部分僵尸网络中被感染计算机以及C&C服务器。由于网络中会产生大量的网络数据,因此在下面的案例分析过程中,我们通过iTAP解析得到网络流量元数据,再使用与之配套的iMAP(intelligent Metadata Analytic Platform)大数据分析平台对采集到的大量网络数据进行深度分析。


        三、 案例分析


1. Ramnit病毒


        在今年5月,从某客户的内网环境中,利用南京云利来开发的iMAP平台发现了Ramnit病毒的C&C服务器。首先是由iMAP平台监控根据威胁情报发出挖矿告警,恶意IP地址是89.185.44.100,如图 1。



图 1、挖矿告警1

        接着,使用iMAP的历史回溯功能,可以方便快速地获取该恶意IP所对应的域名信息,由图2可知,其域名是“fget-career.com”。


图 2 恶意IP的域名

        同时,从iMAP中查看TCP通讯过程发现,内网某台机器与该恶意IP具有大量TCP通讯,并且发现该通讯过程极具规律性:均采用443端口进行加密通讯;每次通讯间隔大约在10mins左右。详情见图 3:



图 3 TCP通讯信息

        通过我们的研究调查发现,域名“fget-career.com”实际上对应的是一个C&C服务器[6]。从该情报中可知其特征是定期(10mins)向“fget-career.com:443”发送当前系统时间信息以及含有本机信息的字符串,并接收“fget-career.com”发回的数据。


        综合以上信息,我们能够确认客户机器确实存在中毒感染的情况,随后将检测报告和解决方案一并发送给客户,并协助他们清理病毒,减少客户内网风险,提升内网安全。


2. Smominru安全事件


        早在7月初,从另一个客户的内网环境中发现了恶意软件Smominru。起因同样是iMAP平台监控发出大量挖矿告警:



图 4 挖矿告警2

        接着,利用iMAP平台自带的分析工具对恶意IP:107.191.99.55进行深入分析。使用历史回溯功能发现内网中某台机器一直与该恶意IP通过5555端口号进行TCP通讯,并且其状态均属于长链接状态,如图 5 所示。同时通过iMAP平台查看该恶意IP所对应的域名信息,发现其域名具有“门罗币”的特殊标识信息xmr,如图 6所示。


        通过以上信息,我们可以初步确认内网计算机已经被感染为挖矿机器。下一步是查明该挖矿行为是否受到C&C服务器操控。



图 5 挖矿特征1


图 6 挖矿特征2

        经过研究和调查,从情报[7]中获取相关可疑IP的信息,然后利用iMAP的历史回溯功能发现客户内网中另一台机器一直与两台疑似C&C服务器在通讯,其通讯过程如图7、图8所示:



图 7 与C&C通讯过程1


图 8 与C&C通讯过程2

        通过观察它们的TCP通讯情况,我们发现客户机器与恶意IP的通讯极具规律性,可以初步确认是C&C服务器,进一步结合情报[6]分析,发现它们的TCP通讯所使用的端口符合情报中C&C的通讯行为特征,因此在很大程度上认为118.184.176.15和78.142.29.152是C&C服务器。目前,已将相关信息反馈给客户。


        四、总结


        根据上述总结的特征,我们可以对C&C通讯过程总结并刻画其行为规则,从而进一步形成对C&C通讯的自动化检测机制。


        南京云利来(www.ido-net.net)的iTAP数据分析产品通过对网络长期不间断的全流量分析,是国内唯一的可以在万兆(20G+)压力下实时地捕捉每一个网络请求和响应同时分析出网络和应用层元数据的网络时光记录仪。iTAP + iMAP提供了一个实时地全方位的网络安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的SIEM平台可以为网络安全法的实施提供技术保障,积极地为网络监控和自动运维保驾护航。






参考文献:
【1】Catalin Cimpanu,“The Number of IoT Botnet C&C Servers Doubled in 2017”,https://www.bleepingcomputer.com/news/security/the-number-of-iot-botnet-candc-servers-doubled-in-2017/ ,2018年01月09日
【2】E安全,“中国301个僵尸网络C&C服务器被Shodan搜出 新型爬虫功不可没”,https://www.easyaq.com/news/1151115931.shtml,2017年05月04日
【3】刘嘉奇、唐锡南,“勒索病毒WannaCry的自动发现原理”,https://mp.weixin.qq.com/s/s_5W0vA-D40XX0yUE9mEDQ ,2018年03月
【4】刘嘉奇、刘纬、张立丹,“你的机器被“挖矿”了吗?”,https://mp.weixin.qq.com/s/_xhyFqd28K0ph7hwBoHf3g,2018年05月
【5】Neurohazard,“C&C控制服务的设计和侦测方法综述”,http://blkstone.github.io/2015/11/07/cc-server/,2015年11月07日
【6】ABC-Knight,“DesktopLayer.exe样本分析”,https://www.52pojie.cn/thread-551523-1-1.html ,2016年11月10日
【7】台湾学术网络危机处理中心团队(TACERT), “Smominru挖矿攻击事件分析报告”,https://portal.cert.tanet.edu.tw/docs/pdf/2018042511040000544921686166894.pdf,2018年04月







© 2013-2019 IDO-NET All rights reserved.