僵尸網絡是如何應對執法行動的？ - 網安 - 專業的網絡安全產業、社區、知識平臺

工作來源

RAID 2021

工作背景

僵尸網絡目前已經成為了一個大問題，有多種方式可以清除僵尸網絡，如滲透攻入攻擊基礎設施、ISP 強制下線惡意服務器、DNS 水坑、扣押相關數字資產、逮捕犯罪分子等。清除僵尸網絡的核心問題在于：如果僵尸網絡沒有被完全清除或者其運營人員沒有被逮捕起訴，運營人員可能很容易就恢復運營并使其更難以鏟除。

此前也有一些典型的案例：

Clayton 檢查了來自一家中型英國 ISP 的電子郵件統計數據，以評估 2008 年 McColo 刪除對全球垃圾郵件的影響。研究發現在清除行動期間垃圾郵件數量顯著減少，但是該 ISP 針對特定類型的垃圾郵件檢測方法也不再有效
Dittrich 定性分析了 2009 年至 2011 年間一系列廣為人知的僵尸網絡清除工作。研究發現，安全從業人員和網絡犯罪分子之間的軍備競賽致使僵尸網絡清除越來越困難
Nadji 提出了一個清除分析和推薦系統 rza，通過該系統對過去的僵尸網絡清除行動進行事后分析，并就如何成功執行未來的僵尸網絡提供建議

在賽門鐵克的全球下載數據集的時間范圍內，一共有三次典型的清除行動：Dridex、Dorkbot 和 Dyre-Upatre：

Dridex

Dridex（也叫 Bugat、Cridex、Drixed 和 Dridexdownloader）是一種銀行木馬，通常作為釣魚郵件的附件進行傳播，專門用于竊取失陷主機上的銀行憑證和其他隱私信息。在 2015 年 8 月至 10 月期間，其中一名僵尸網絡運營人員被政府逮捕，且英國 NCA 對 Dridex 的服務器進行了 DNS 水坑。在 2015 年 10 月 9 日至 12 月 8 日期間，執法機構對 Dridex 進行了第二次 DNS 水坑和清除行動，但沒有對外披露具體細節。

Dorkbot

Dorkbot 是通過蠕蟲病毒傳播再分發其他類型惡意軟件的僵尸網絡，Dorkbot 會將其 C&C 服務器分散到世界各地。在 2015 年 12 月 3 日左右，世界各國的安全公司和執法機構齊心協力鏟除了 Dorkbot 僵尸網絡。

Dyre 和 Upatre

在主機感染 Upatre 后，它會繼續將 Dyre 或者其他惡意軟件（如 GameOver Zeus、Kegotip、Locky 和 Dridex 等）安裝到這些設備上，Upatre 實際上是一個 Dropper，本研究只關注 Upatre Dropper 的運營。

Dyre（也叫 Dyreza、Dyzap 和 Dyranges）是一種針對 Windows 的復雜金融欺詐木馬，樣本也具備極高的多態性。在 2015 年 11 月 18 日左右，執法人員在俄羅斯逮捕了 Dyre 的運營人員。

工作設計

想要研究當僵尸網絡面臨清除行動時，運營人員在策略上是如何應對的。以此來定量評估針對性的清除行動對惡意軟件的全球分發有什么影響？研究只分析全局的樣本分發行為，并不關注特定攻擊行動中的樣本分發。

構建圖

以哈希、URL、IP 和 FQDN 作為實體，構建關聯圖。示例如下所示：

文件分類

按照數據集構建的方法標記文件類別為 Malware、PUP、Benign。

為 4.83%（1034763 個）的文件標記為有害（Malware+PUP）
為 2.07%（443541 個）的文件標記為惡意軟件（Malware）
為 1.64%（350517 個）的文件標記為良性（Benign）

別名的情況：

Dridex、Cridex、Bugat、Drixed、Dridexdownloader -> Dridex
Dorkbot、Ngrbot -> Dorkbot
Upatre -> Upatre

跟蹤分發

FSF：相關文件節點集合

PSF：相關父節點集合，父節點可能是托管服務、失陷網站或按安裝付費的運營商

CSF：相關子節點集合

ASF：相關節點屬性集合，如家族、Dropper/Download 計數、國家、域名等）

網絡類指標：用 URL、域名、IP、國家/地區等描述服務器的狀態，如與域名相關的 IP 數量提供了對 FastFlux/CDN 這些對抗檢測技術的發現；與 IP 相關的域名數量提供了對 DGA 等技術的發現

文件類指標：用樣本數、大小分布、周轉率等率描述文件的狀態，如家族下載計數和家族樣本計數等

指標整體如下所示：

工作準備

下載數據

使用賽門鐵克提供的匿名下載數據集。數據集包含 2015 年 10 月 1 日至 2016 年 9 月 29 日期間 1200 萬賽門鐵克產品終端用戶的下載數據，包括下載二進制文件的時間、下載來源以及哪個程序啟動下載等信息。

< 文件哈希,文件屬性（文件名、文件大小、文件信譽和流行度）,重定向的初始URL,下載URL,FQDN,服務器IP地址,父文件哈希,父文件URL >

從 2015 年 10 月 1 日起，每周 1 天，在 53 天內總共觀察到 8150 萬次下載。

過濾去掉賽門鐵克認為良性且未被 VirusTotal1 確認為惡意的文件，只保留惡意軟件和 PUP
過濾掉無效 IP 地址和異常數據，如沒有父文件或者 URL 等
如果按市場份額排名前五的殺軟供應商中至少有一個（Avast、AVG、Avira、Microsoft 和 Symantec）檢測，并且至少有兩個其他殺軟將其判定為惡意文件，就認為該文件是惡意的

文件數據

賽門鐵克采用靜態和動態分析系統來確定二進制文件的惡意性，并估計其在野外的流行程度
通過 VirusTotal 獲取檢出的殺軟引擎數量以及結果標簽，利用 AVClass 合并一致的家族標簽
NSRL Reference Data Set (RDS) 的 2.67 版數據集提供了關于良性程序的哈希
由于 VirusTotal 有時有可能需要幾個月甚至幾年才能正確檢出在野惡意軟件，因此分析在數據集的 3 到 4 年后才進行

工作評估

整體來看，總結如下：

網絡類指標

下圖顯示了聚合網絡類指標的趨勢變化：

下圖顯示了規避方式的統計趨勢：

Dridex

Dridex 最初在水坑的階段（10 月 1 日至 3 月 3 日）活動持續增長，水坑結束后先降后升再緩慢下降。考慮到 2015 年已經逮捕起訴了部分運營人員，其他運營人員可能增加了活動頻度或者將活動轉移到更隱蔽的地方，導致了網絡活動的增強。

.com 的 URL 和美國部署的服務器使用量顯著增加，可能是 Dridex 本就針對美國發起了大量攻擊或者為了應對美國的執法行動而蓄意報復
其最常用的域名的下載比例也相對較低，攻擊者不依賴于某個服務器。從 FQDN 與 e2LD 的比值大約為 1:1 且服務器遍布在 35 個不同的國家/地區也能看出來

Dridex 大量使用托管平臺和 CDN 分發惡意樣本，這樣更難以被清除。后期 Dridex 減少了服務器的數量，但沒有明確的證據表明這是由于清除行動導致的。

Dorkbot

Dorkbot 使用的唯一 URL、域名和 IP 地址相對較少。在清除行動后，Dorkbot 的網絡活動急劇下降。但在清除行動前，Dorkbot 的波動就很大，也不能確定是由于清除行動導致的。

Dorkbot 會經常更換使用的 IP 地址，但與 Fast Flux 相比時間更長
Dorkbot 的基礎設施分布在世界各地，但很多服務器可能是備用的

Upatre

Upatre 一直在快速增加，直到針對 Dyre 的執法行動被打擊開始下降。

傾向于通過 .com 進行下載
使用雅虎和微軟的郵件服務，釣魚郵件的攻擊手段相吻合，如 {region}{integer}.afx.ms 和 email{integer}.secureserver
使用的服務器也分布在各國，如美國、德國和法國和烏克蘭

清除行動后，Upatre 的網絡活動快速減少。這也顯示了，Dyre 嚴重依賴 Upatre 作為 Dropper。

發現了 Upatre 使用的 139 個 DGA 域名，結構為：靜態關鍵字+隨機字符串+.ru。這些域名都和同一組 IP 相關，且在清除行動后從電子郵件服務轉向使用 DGA 惡意域名。

文件類指標

聚合下載

Dridex 設計用于 Payload 而不是 Dropper，但有部分變種被修改為 Dropper
Upatre 相關的大量樣本都是 PUP，且少數 Upatre 樣本產生了幾乎所有的 Dropper 行為
Dorkbot 的波動本就很大，多達 40% 的樣本會產生 9+ 的后續 Payload

關系動態

Dorkbot 主要分發 yakes、teslacrypt 和 bublik，且清除行動對其整體幾乎沒有影響，可能是只清除了一個子集
Dridex 通常依賴釣魚郵件和漏洞利用工具包進行分發
Upatre 從依賴少數幾個家族轉變為依賴多樣化的上游 Dropper 網絡

分布式分發

Dorkbot 的某些文件與任何 URL 都無關，可能是由惡意進程直接寫入文件系統
Dridex 通常至少與一個 IP 或 e2LD 有關，超過一半與兩個以上相關。特別的是，多個相關的比例最高出現在清除行動時期，這可能就表明攻擊者在清除行動期間在努力恢復運營
Upatre 的對應關系變化很大

多態

Dridex 在 DNS 水坑期間的樣本數增加，后續下降
Upatre 在逮捕發生后急劇下降
Dorkbot 對清除行動有較強的抵抗力，幾乎每周都會更換全部樣本，其惡意性評分也更低

工作思考

作者提出了四點思考：

攻擊者大量使用分布式分發基礎設施，需要執法機構、安全公司和服務提供商之間緊密溝通協調才能對抗濫用
少數樣本與絕大部分下載有關，盡管多態檢測始終是挑戰，但抓住“主要矛盾”可能會事半功倍
面對清除行動，惡意軟件表現出了極大的韌性。也許應該考慮清除以外的方式來幫助遏制，比如嚴打資金流轉等
犯罪分子可能會使用挑釁的方式應對清除，甚至難以預料的行為，安全社區需要加強情報和數據的整合

實際上這些年來各國政府和執法機構在打擊惡意軟件上付出了很多努力，微軟等世界知名的安全廠商也都積極參與其中幫助維護網絡空間安全。但黑產相關的利潤相當大，攻擊者有著極大的熱情維護其基礎設施的韌性。且最近幾年 P2P 的僵尸網絡越來越多，越來越不容易進行集中打擊。而且加密貨幣對勒索和挖礦的助推到了無以復加的地步，只要犯罪分子能通過攻擊獲得超高的利潤，惡意軟件和安全業界的斗法就不會停止。