b1t_与僵尸网络攻防对抗的激情岁月

甲睿哲

2017/11/14 发布于 技术 分类

主要讲述与僵尸网络攻防对抗的一些经验,包括识别、监控、反制僵尸网络的一些技术分享以及关于一个僵尸网络黑色产业链的案例介绍。

文字内容
1. $ whoami b1t GitHub/Twitter @zom3y3 TO BE A MALWARE HUNTER! #Pentest #C #Antivirus #Python #Botnet #DDoS
2. Attention ! 以下言论仅代表个人观点,与任何组织和其他个人没有任何关系 本议题数据纯属虚构,如有雷同纯属巧合
3. Outline • 为什么研究僵尸网络? • 僵尸网络识别、监控技术分享 • Silver Lords黑客组织追踪分析
4. 为什么研究僵尸网络 从哪里开始 • 2014年底,当我在阿里云每天需要解决30个“恶意主机”工单的时候… • 解决思路:封IP+杀进程
5. 怎么解决? 恶意主机项目 恶意进程 恶意IP 自主杀毒软件设计(FindMalware) 进程检测 流量检测 ACM(恶意软件追踪系统) F2M H2M S2M
6. FindMalware 简介: FindMalware是一款用C/C++语言编写,覆盖Windows和Linux平台的恶意软件追踪 工具。其以PE、ELF 代码段哈希值作为静态特征检测恶意软件,并获取进程socket通信 提取恶意软件CNC。除此之外它也集成了信息采集器功能,能够采集主机文件、进程、网 络等信息,并配合云端数据分析平台进行高级威胁检测。 项目地址:https://github.com/zom3y3/findmalware
7. • ELF • PE 可执行文件 进程检测 • 进程模块 • 父进程 • socket 进程通信 信息采集 • 文件信息 • 进程信息 • 网络信息 • 信息上报 威胁源监控
8. • 人肉添加 • 漏报机制 • VT等平台 • 网络爬虫 • ClamAV 病毒库 病毒识别 • 病毒特征库 • 基本行为 • 进程通信 • 提取CNC • TCP/UDP 进程通信 信息追踪 • 文件hash追踪 • 网络流量追踪 • PoC追踪
10. • 410万自主病毒库 • 集成多款AV • 30秒/台 • 9个月 • 50个中控/天 • 病毒检出率95% • XX重大案件
11. Now ! 僵尸网络威胁情报项目规划 情报搜集平台 情报分析平台 情报分 发平台 分布式蜜罐 情报订阅系 C&C自动 僵尸网络关 僵尸网络威 系统 统 化监控系统 联分析系统 胁情报平台
12. 蜜罐系统是作为 情报搜集平台一 个主要部分,其 主要目的是搜集 主流的PoC,恶 意软件样本,恶 意下载源等。 Honeypot
13. 利用MHN进行分布式蜜罐部署
14. 利用MHN进行分布式蜜罐部署
15. 利用MHN进行分布式蜜罐部署
16. CNC Command Tracking CNC监控系统是 作为情报分析平 台一个主要部分, 其主要目的是逆 向分析主流僵尸 网络通信协议, 并监控其攻击指 令。
18. 挑选Linux/Setag.B.Gen样本(80d0cac0cd6be8010819fdcd7ac4af46) 作为本次测试对象
19. 挑选Linux/Setag.B.Gen样本(80d0cac0cd6be8010819fdcd7ac4af46) 作为本次测试对象
20. • C&C提取 • C&C探活 • C&C分类 • C&C通信协议解密 • C&C监控
21. • C&C提取 • C&C探活 • C&C分类 • C&C通信协议解密 • C&C监控
22. • C&C提取 • C&C探活 • C&C分类 • C&C通信协议解密 • C&C监控
23. 利用Splunk进行简单的数据分析
24. 利用Splunk进行简单的数据分析
25. 利用Splunk进行简单的数据分析
26. 利用Splunk进行简单的数据分析
27. SmartQQ Group Message Tracking SmartQQ在线WebQQ网页 平台,是腾讯在WebOS云平 台上推出的一款单纯的聊 天工具,通过逆向分析 SmartQQ通信协议,可以 实现QQ群上的黑产监控。 项目地址:https://github.com/zom3y3/QQSpider
30. Silver Lords 2014年12月31号,我 通过分析一个ftpBrute 恶意代码追踪到一个巴 西黑客组织Silver Lords,并通过xss漏洞 进入Silver Lords 黑 产平台. 主要成员: Al3xG0 Argus Ankhman Flythiago nulld …
31. 《A LOOK INSIDE THE BRAZILIAN UNDERGROUND》
32. • 近3 W FTP 站点 • 70 个政府系统 • N个NASA站点 • 1000+ Cpanel • 7000+ c99shell • 62W CPF(巴西税卡) Silver Lords组织分析
34. Silver Lords ftpBrute cPanle c99shell phpbot shellbot CPF painel.cyberunder.org/painel.p hp 客户端:FtpBrute.pl painel.cyberunder.org/cpanel. php 疑似cPanle数据泄露 painel.cyberunder.org/c99shell .php 客户端:C99webshell pbotcyberunder.org:443 客户端:phpbot.php irc.silverlords.org:443#nmap 客户端:shellBot.pl painel.cyberunder.org/dados.p hp 疑似CPF数据泄露
38. What’s the meaning of hacking ? EXPLORE EVERYTHING,EXPLOIT EVERYTHING! Enjoy Hacking !
39. THANKS [ b1t@KCon ]