Botconf 2023 议题速递

渗透技巧 1年前 (2023) admin
250 0 0

2023 年的第十届 Botconf 来到了法国的斯特拉斯堡,要不是 2021 年停办了一年去年就应该是第十届了。全世界数百位安全研究人员再一次齐聚一堂,包括 Intel 471、360、趋势科技、Zscaler、Akamai、谷歌、卡巴斯基等,热热闹闹地讨论相关议题。

Botconf 2023 议题速递

下面只挑选部分议题进行介绍,感兴趣的同学可以去官网查看全部议题进一步了解。一如既往要强调的是,会议要求参会人一定要遵守 TLP 要求,本文只简要介绍了部分议题,完整、详细的内容请查看官网或者联系作者。

实时 DNS 数据外带检测

Akamai 去年在 Botconf 讲的《根据通信模式检测利用合法服务进行 C&C 的失陷主机》,今年又在域名数据上更进一步检测数据外带。

Botconf 2023 议题速递

近年来相关的研究也比较多,主要分为两类:一类基于 Payload,另一类基于流量。为了改进现有工作的局限,Akamai 提出了自己的方案:

Botconf 2023 议题速递

在数据集里评估对比的结果如下所示:

Botconf 2023 议题速递

在实际数据下也检出了具体的案例:

Botconf 2023 议题速递

Botconf 2023 议题速递

Botconf 2023 议题速递

深入研究 Yara 扫描性能

Botconf 2023 议题速递

这个议题后续会单独写一篇,着急的可以去看原文。

基于 MinHash 的代码关系分析工具

整体架构:

Botconf 2023 议题速递

一方面使用 PicHash,另一方面使用 MinHash:

Botconf 2023 议题速递

Botconf 2023 议题速递

MinHash 特征工程:

Botconf 2023 议题速递

为匹配项提供更多解释信息:

Botconf 2023 议题速递

各个家族的基本情况:

Botconf 2023 议题速递

能发现 Lockbit 与 Conti 的相似:

Botconf 2023 议题速递

Botconf 2023 议题速递

还可以用于生成 Yara 规则:

Botconf 2023 议题速递

Botconf 2023 议题速递

数据视野下的 Fodcha

Fodcha 是 2022 年出现的 IoT 僵尸网络,在 Mirai 之上形成了自己风格。在 1 月 12 日即被 360 Netlab 的蜜罐捕获,1 月 20 日首次发现 DDoS 攻击。

Botconf 2023 议题速递

中国境内的上线数量较大:

Botconf 2023 议题速递

  • 4 月 19 日更新了版本 2.x,使用 OpenNIC 提供的顶级域名作为 C&C 域名。

  • 4 月 24 日更新了版本 3,启用 xxtea 加密配置信息,并且增加了反沙盒与反调试。

  • 6 月 5 日更新了版本 4,去掉了反沙盒与反调试并且启动了 DDoS 勒索。

Botconf 2023 议题速递

Mirai 与 Fodcha 的异同

table_init 与 DDoS 攻击类型基本相似:

Botconf 2023 议题速递

Fodcha 使用 xxtea 算法来加密重要配置信息,使用 chacha20 算法来加密后续阶段的通信。

Botconf 2023 议题速递

C&C 通信协议:

Botconf 2023 议题速递

攻击基础设施

使用 OpenNIC 的域名:

Botconf 2023 议题速递

Botconf 2023 议题速递

攻击基础设施的韧性很强,13 个域名对应 90 个 IP 且分布在十个国家的十余个自治系统中。

Botconf 2023 议题速递

Botconf 2023 议题速递

Botconf 2023 议题速递

C&C 面板

11 月 9 日,通过 Telegram 匿名消息来源获取了 Fodcha 的 C&C 源码与访问终端。

Botconf 2023 议题速递

Botconf 2023 议题速递

Botconf 2023 议题速递

持续跟踪

Botconf 2023 议题速递

Fodcha 已经跻身 2022 年最活跃的新兴 DDoS 家族:

Botconf 2023 议题速递

在跟踪期间疯狂发动 DDoS 攻击,总计控制近四万台失陷主机针对全球的五万多个目标进行攻击,平均每天攻击超过一千个目标。从攻击方式上来看,TCP_STOMP、UDPPLAIN、STD 为最受攻击者青睐的攻击方式。

Botconf 2023 议题速递

Fodcha 也使用了大量的漏洞进行扩张:

Botconf 2023 议题速递

根据控制面板估计,全球的失陷主机规模在接近四万台:

Botconf 2023 议题速递

健康码、云服务厂商、Navicat 都经历了攻击的洗礼:

Botconf 2023 议题速递

最后碎碎念一句,他们之前在地图上就吃过亏,现在似乎还是 … 。是不是建议前端重新处理一下,或者发布之前手动处理以下,以避免可能存在的各种争议。

攻击者盯上 OTA 升级

安卓系统中的 OTA 并不复杂,首先由 OEM 下载新系统镜像到设备,再调用 RecoverySystem API 校验签名,最后安装镜像到恢复分区再重启。

被攻击者滥用的点主要集中在如下四类上:

Botconf 2023 议题速递

Digitime OTA

详细情况可以查看 MalwareBytes 与 Ninji 的文章,此处不多加赘述。

Botconf 2023 议题速递

攻击者为逃避检测做了大量的工作:

Botconf 2023 议题速递

RedStone OTA

攻击者的混淆更强力,甚至自定义了 coredex 文件格式:

Botconf 2023 议题速递

使用代码重用创建可靠 Yara 规则

首先创建代码:

Botconf 2023 议题速递

再使用 mkyara(https://github.com/fox-it/mkYARA)规范化代码:

Botconf 2023 议题速递

以上千个恶意软件家族大规模分析的经验来看,即使是 10%-20% 的小程度代码重用也能够进行相当高质量的样本识别,

当然,整体架构都是千篇一律的:

Botconf 2023 议题速递

里面介绍了几种方式:ngram、指令序列、控制流图等,也都常见不再赘述,感兴趣可以查看原文或者本号之前的文章。

《狩猎样本的哈希游戏》

Avenger,公众号:威胁棱镜狩猎样本的哈希游戏
构建 Yara 规则创建流水线:

Botconf 2023 议题速递

发现在野恶意 PyPI 包

PyPI 上典型的供应链攻击:

Botconf 2023 议题速递

例如与常用库名类似,但没有任何描述信息的:

Botconf 2023 议题速递

例如在 pip install 后自动运行自定义安装脚本的:

Botconf 2023 议题速递

例如写入 .py 文件启动新进程的:

Botconf 2023 议题速递

例如读取浏览器 Cookie 的:

Botconf 2023 议题速递

研究人员开发了 GuardDog 来检测 PyPI 与 NPM 上的恶意包,主要应用包的元数据以及源代码进行分析判断。

Botconf 2023 议题速递

即使每天扫描数千个包的情况下:

Botconf 2023 议题速递

仍然能够检测出恶意包源源不断地涌现:

Botconf 2023 议题速递

各种恶意包上传了数据集(https://github.com/datadog/malicious-software-packages-dataset),相关研究可以参考:

Botconf 2023 议题速递

使用增量聚类算法识别壳

利用反汇编构建 CFG,再用类似 Gorille 的方式对 CFG 进行转换,使其能发现二进制相似之处并且对抗代码上的小修小改。

Botconf 2023 议题速递

手动处理了 5912 个加壳样本:

Botconf 2023 议题速递

成功聚类了 85% 的加壳样本:

Botconf 2023 议题速递

通过商业 VPN 解除地区限制

由于 Netflix 等流媒体或者 Steam 等游戏的全球价格不是统一的,跨国购买服务可能会更加便宜或者提供更多内容。想必大家对土区的车都十分熟悉,应该有很多人都上车了。

Botconf 2023 议题速递

有云主机也有住宅挂的代理,例如后者:

Botconf 2023 议题速递

跟随 Lazarus 的脚步看 DeathNote 攻击行动

该组织的感染方式都是精心设计过的:

Botconf 2023 议题速递

C&C 控制的架构也是双层的:

Botconf 2023 议题速递

根据工作时间来看,攻击者在 GMT+8 或者 GMT+9 时区:

Botconf 2023 议题速递

恶意 Bot 的生态系统

有各种各样的恶意 Bot,例如凭据填充的 Bot(OpenBullet):

Botconf 2023 议题速递

例如创建账户的 Bot(AYCD):

Botconf 2023 议题速递

例如 Scalping Bot(NSB):

Botconf 2023 议题速递

例如点击 Bot:

Botconf 2023 议题速递

地下已经形成了完整的开发者社区:

Botconf 2023 议题速递

提供市场:

Botconf 2023 议题速递

提供地下论坛:

Botconf 2023 议题速递

提供破解信息:

Botconf 2023 议题速递

提供自动化框架:

Botconf 2023 议题速递

提供代理:

Botconf 2023 议题速递

提供验证码对抗:

Botconf 2023 议题速递

KmsdBot 崩溃始末

Golang 编写的恶意软件,相关细节的分析 Akamai 之前写过文章不再赘述了,感兴趣去看原文或者搜国内也有翻译版本。

https://www.akamai.com/blog/security-research/kmdsbot-the-attack-and-mine-malwarehttps://www.akamai.com/blog/security-research/kmsdbot-part-two-crashing-a-botnet
该僵尸网络攻击目标遍布全球,后来攻击者两次错误使得僵尸网络崩溃。

从 GhostNet 到 PseudoManuscrypt

Ghost RAT 又名 Zegost 是从 2008 年开源的远控木马,长期以来一直保持活跃。

Botconf 2023 议题速递

开源版本导致出现了许多变种:

Botconf 2023 议题速递

后来在 2021 年出现了 PseudoManuscrypt,卡巴斯基认为是由 Lazarus 在背后运营。

Botconf 2023 议题速递

其使用的 DGA 算法如下所示:

Botconf 2023 议题速递

研究人员认为是说中文的攻击者在运营,有许多特征:

  • 使用 Gh0st RAT 的变种

  • 使用 HP-Socket 网络通信框架

  • 使用宝塔面板运营基础设施

  • C&C 基础设施通常部署在东亚

Botconf 2023 议题速递

追踪 Bumblebee 演化

Bumblebee 一直在持续迭代:

Botconf 2023 议题速递

使用 WebSocket 作为 C&C 协议,并且经过 RC4 加密:

Botconf 2023 议题速递

C&C 通信与任务下发也一直都在持续开发:

Botconf 2023 议题速递

Botconf 2023 议题速递

检测僵尸网络感染链

从 2022 年 2 月到 2023 年 2 月,Qakbot 有超过一百万受害者:

Botconf 2023 议题速递

从 2022 年 8 月到 2022 年 12 月,IcedID 有超过两万受害者。

Botconf 2023 议题速递

ISO 释放 LNK 的关联规则:

Botconf 2023 议题速递

HTML Smuggling 的关联规则:

Botconf 2023 议题速递

感染链痛苦金字塔:

Botconf 2023 议题速递

RAT 作为勒索软件

远控木马的情况:

Botconf 2023 议题速递

利用 RAT 的攻击组织:

Botconf 2023 议题速递

TA558 使用的远控木马 VenomRAT 都有勒索软件模块,VenomRAT 是 QuasarRAT 的变种。

Botconf 2023 议题速递

感染链:

Botconf 2023 议题速递

勒索信息:

Botconf 2023 议题速递

该勒索软件构建模块是基于名为 Ransomware-Builder-v3.0 的开源项目修改而来。

现代银行欺诈的威胁洞察

从 2018 年开始,意大利出现了很多银行欺诈攻击行动的受害者。攻击者入侵能够直接访问银行的机器,在银行转账时进行篡改。

Botconf 2023 议题速递

整个流程如下所示:

Botconf 2023 议题速递

攻击整体的完成度非常高,甚至汇款完成后银行给出的 PDF 电子凭条也都会被篡改,等到受害者发觉的时候就已经悔之晚矣。

Botconf 2023 议题速递

Botconf 2023 议题速递

攻击者还利用失陷主机来对外提供进行洗钱服务。

Iron Tiger 持续增强针对 Linux 与 macOS 用户的攻击

2020 年 12 月,ESET 发现针对蒙古政府使用的即时通信应用程序 Able Desktop 进行供应链攻击。
2022 年 5 月,趋势科技披露针对东南亚使用的即时通信应用程序 MiMi Chat 进行供应链攻击。
2022 年 11 月,趋势科技披露利用中国大陆使用的即时通信应用程序有度即时通进行攻击,攻击者将其重新打包包装成 i Talk 进行分发:

Botconf 2023 议题速递

攻击者在网络安全平台 Wazuh 的带签名可执行文件中发现了两个侧加载漏洞,并且进行了武器化利用。

该团伙的胃口越来越大:

Botconf 2023 议题速递

并且不局限于东南亚以及中国的目标,德国、美国与法国也都相继发现了受害者。

Botconf 2023 议题速递

Botconf 2023 议题速递

Asylum Ambuscade 的面纱

多个俄罗斯相关的网络犯罪团伙也卷入俄乌冲突中:

Botconf 2023 议题速递

该团伙以前针对美国与加拿大的金融行业进行攻击:

Botconf 2023 议题速递

是在地缘冲突期间从网络犯罪转向网络间谍吗?研究人员认为应该是新扩展的攻击范围。自 2022 年 1 月以来,一共发现了超过 4500 个受害者:

Botconf 2023 议题速递

攻击基础设施中还发现了 2020 年 TA505 使用的域名,猜测是使用了相同的地下付费服务。

Botconf 2023 议题速递

通过 VirusTotal 的狩猎发现样本的检出率都较低:

Botconf 2023 议题速递

从内容到情报

Botconf 2023 议题速递

从 2007 年到 2020 年一共 17153 篇文章,包含一个攻击者与至少两个攻击技术的文章有 12808 篇。频繁项集挖掘最常见的技术如下所示:

Botconf 2023 议题速递

与 APT28 有关的规则:

Botconf 2023 议题速递

与 SandWorm 有关的规则:

Botconf 2023 议题速递

与 Equation 有关的规则:

Botconf 2023 议题速递


点击阅读原文即可查看官网日程

原文始发于微信公众号(威胁棱镜):Botconf 2023 议题速递

版权声明:admin 发表于 2023年5月23日 上午9:31。
转载请注明:Botconf 2023 议题速递 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...