LEET 2010:关注威胁、攻击网络事件
2010-08-15杨望
LEET 2010:关注威胁、攻击网络事件
4月,第三届大规模攻击和紧急威胁讨论会(Workshop on Large-Scale Exploits and Emergent Threats,简称 LEET)在美国加州的圣何塞市召开。这是一个USENIX举办的小型安全讨论会,自2008年起每年举办一届。尽管规模不大,但参加者都是来自企业的一线安全人员和研究机构中的资深科学家。LEET关注的是大规模和新出现的威胁、攻击网络事件以及对应的解决方法。今年的LEET共包括四个Session,分别是:僵尸网络(Botnet)、威胁测量(Threat Measurement and Characterization)、威胁检测和消除(Threat Detection and Mitigation)、新的威胁和挑战(New Threats and Challenges)。
1 僵尸网络
Botnet
僵尸网络是目前互联网公认的最大威胁之一,庞大的Botnet成为各类网络犯罪(分布式拒绝服务攻击,垃圾邮件,帐号窃取等等)的基础,并且迄今为止一直缺少有效的抑制僵尸网络的方式。这次会议的两篇文章分别从不同角度讨论Botnet的组织结构,希望能为检测和抑制僵尸网络的攻击提供新的思路。
来自加州大学伯克利分校的Chia Yuan Cho等撰写的“Insights from the Inside: A View of Botnet Management from Infiltratio”介绍了他们如何通过伪装技术进入一个以发送垃圾邮件为主的僵尸网络MegaD,根据他们持续4个月的观测,现有的僵尸网络不再是单一的控制机构,在MegaD中,垃圾邮件的发送控制被不同的服务器控制,根据角色可以把它们分为命令控制服务器、程序下载服务器、模板下载服务器和邮件发送服务器。在观测过程中,他们还发现了MegaD遭受来自安全组织FireEye关闭行动之后,仅通过1周时间就不能恢复到超过被关闭之前的垃圾邮件发送量,说明僵尸网络的存活能力非常强。
来自北卡罗来纳大学的Chris Nunnery等撰写的“Tumbling Down the Rabbit Hole: Exploring the Idiosyncrasies of Botmaster Systems in a Multi-Tier Botnet Infrastructure”介绍了他们如何从文件和网络Trace分析一种新的P2P僵尸网络Waledac,Waledac是著名蠕虫的Storm的一种后续发展。Nunnery等人发现Waledac的命令控制服务器呈现了一种复杂的多层控制体制。
2 威胁测量
Threat Measurement and Characterization
威胁测量的三篇论文主要讨论了虚假防病毒软件、恶意网页和P2P的隐私泄漏问题。
来自Google的Moheeb Abu Rajab等人的“ The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution”对目前互联网上的虚假防病毒软件(Fake Anti-Virus Software)进行统计。和一般的恶意软件不同,虚假防病毒软件通过欺骗用户付费来删除其实不存在的恶意程序来获利。根据Google在过去13个月中的搜索,共有11000多个域名和传播虚假防病毒软件相关,占总恶意网页相关域名的15%,并且其绝对数量和相对数量仍在不停增长,Google预计这种形式的恶意软件将成为通过网页传播的恶意软件的主流。
来自法国的Stevens Le Blond等人的Spying the World from Your Laptop:Identifying and Profiling Content Providers and Big Downloaders in BitTorrent对目前最流行的P2P软件BT的隐私性进行了测试,发现现有BT协议的漏洞,只要进入P2P网络,一台主机就可以对网络中的其他主机进行信息收集。作者在103天中通过下载20亿个文件一共对1亿4800万个IP地址进行了监测。
来自微软的Jack W. Stokes等人的“WebCop: Locating Neighborhoods of Malware on the Web”介绍了如何通过基于主机的防病毒软件和搜索引擎结合来对遍布互联网的恶意网页进行检测。作者的基本思路是通过防病毒软件获得包含恶意软件的网页信息,然后通过搜索引擎发现链接到包含恶意软件的网页,并对这些恶意网页的“社区”中的网页进行检测,从而发现更多的恶意软件。
3 威胁检测和消除
Threat Detection and Mitigation
本次会议中的威胁检测方法中,基于域名的黑名单是重点,有两篇文章从不同角度讨论了黑名单的扩展问题。
来自美国加州大学伯克利分校的Mark Felegyhazi等人的On the Potential of Proactive Domain Blacklisting从域名的注册信息来进行黑名单的推理工作。通过对比注册时间、注册人和注册服务器信息,作者从一个已知的黑名单域名可以推出3~15个新的可疑域名,经过后期第三方安全组织的验证,其中93%的预测域名被认为是可疑的,73%的域名则最终进入了安全组织的黑名单。作者认为这种预反应的黑名单比后反应的黑名单可以提前2天进行预警,从而达到更好的黑名单效果。
来自日本NTT的Kazumichi Sato等人的Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries则从DNS解析行为来进行黑名单的推理工作。作者认为目前的恶意软件都会使用多个域名保证恶意网络的存活,感染主机对这些域名的解析行为也应该具有相似性,因此通过对比主机对已知黑名单中的恶意域名和其他域名的访问频度等方面,可以发现新的恶意软件使用的域名。但他们的方法目前有较高的误报率,相对于上一篇文章的方法效果有限。
4 新的威胁和挑战
New Threats and Challenges
本次会议的新威胁部分介绍了几种不同类型的新攻击或威胁形式,如基于Latex文档的病毒传播和基于聊天的新社会工程学攻击。
来自美国加州大学圣迭戈分校的Stephen Checkoway等人的“Are Text-Only Data Formats Safe? Or, Use This LaTeX Class File to Pwn Your Computer”介绍了如何通过Latex文件制作病毒,传统上认为只有包含宏功能的Word文件才能传播病毒,但作者证明通过Latex的宏集定义也可以完成同样的功能。
来自EUROCOM的Tobias Lauinger等人的“Honeybot, Your Man in the Middle for Automated Social Engineering”则展示了一种新的攻击方式,通过机器人伪装人类进行多步聊天来欺骗普通的计算机用户点击恶意网页链接,这种方式相对于传统的基于邮件和聊天软件的方式有更高的成功率,在作者的实验中,有70%的用户点击了他们发送的链接。
(翻译:杨望)
