◎上海戎磐网络科技有限公司 刘旭

伴随万物互联时代到来，物联网安全也日益凸显。美国最新公布的《2016—2045年新兴科技趋势报告》认为，到2045年，将有超过1千亿的设备连接在互联网上，随着物联网发展以及常用连接越来越多，网络安全将成为网络行业的首要话题。在众多物联网网络攻击威胁的样式中，通过控制物联网传感器发起大规模DDoS攻击的案例呈爆发趋势，值得关注和警惕。

需要说明的是，看似DDoS攻击对普通个人似乎并没有多大影响，而实际上却可能严重影响人们的生活和工作，甚至威胁国家和互联网的安全。当DDoS僵尸网络执行攻击时，物联网传感器这些“肉鸡”也都属于受害者。2016年10月，美国域名服务商Dyn遭到大规模物联网僵尸网络DDoS攻击，导致美国东部大面积不能正常上网。同年11月底，造成德国90多万台路由器和固定电话的网络瘫痪，就是因为相关物联网设备被植入Mirai家族木马并执行DDoS攻击造成的网络堵塞。著名的Gafgyt僵尸网络于2014年8月第一次被发现，特别是2014年末在Lizard Squard（Xbox Live）与PlayStation Network的DDoS攻击发生后变得更加有名。2015年1月Gafgyt的源代码被公开，目前Gafgyt也是存在最多变型的恶性代码。在全球控制物联网节点超过10万。而黑客的攻击目标也从小范围的网络目标，升级到商业之间的竞争、国家金融服务，甚至国家之间的政治、军事行动等等。如今，DDoS僵尸网络搭建的简易性和廉价性，给互联网安全和我们日常生活和工作造成的威胁日趋严峻，维护网络安全发展仍然任重道远。

传统网络安全分析技术大都基于特征检测，总体看，在经过近10余年的发展，在识别、检测、响应、处置网络安全威胁方面积累了大量规则数据，诞生了大量新型安全技术。但也存在一些短板，比如个体识别向群体识别迈进不足，在提升防御精度的同时扩展广度能力有限等等。因此，行业里已经出现一些企业创新提出“软件基因”的新型思路，以全新视角看待网络空间。

一、软件基因视角

“软件基因”技术借鉴生物基因认识生命本源的思想，提出以“基因”视角认识网络空间并解决多种网络安全技术痛点，是和传统基于“特征检测”并行的技术路线，是我国自主首创全球领先的基础性创新技术。“软件基因”技术围绕软件本身“同源未必相似、相似未必同源”的安全属性，从软件代码的“遗传性”和“变异性”两方面进行了系统技术验证，打破了传统安全主要基于“特征检测”的技术路线，为新型网络安全技术发展与应用提出了新的研究方向。横向看，2017年3月，维基解密曝光大量美国CIA网络武器库，其中的Umbrage项目通过收集大量公开的黑客工具、攻击技术、泄露数据等信息，通过模仿、混淆等方法生成新工具，发起迷惑对手、嫁祸于人、隐藏自己网络攻击，有一定“基因混淆”的思想，但具体进展不详。国外一些研究人员近年来提出针对软件的胎记（Birth Mark）识别，本质仍是基于特征的，主要用于对软件的知识产权检测，并不针对网络空间。

二、以软件基因视角看待Mirai家族和Gafgyt家族的关系案例

Mirai家族和Gafgyt家族都是著名的物联网僵尸网络木马家族，以其样本为研究分析对象，利用上海戎磐网络科技有限公司恶意代码软件基因分析引擎核心产品，绘制样本基因图谱，生成基因关联分析热力图，可以得到以下结论：

（一）分析样本

第一组是Gafgyt组：包含推测变种的Gafgyt和两个对照样本。

第二组是Mirai组：包含与变种样本相似度较高的三个Mirai样本。

（二）基因分析

我们利用基因分析引擎将一组Gafgyt和Mirai样本通过基因检测的方式进行分析后得出了一张热力图（图1）。图中坐标轴数字是样本的编号，颜色深浅表示样本相似度，颜色越红表示相似度越高，反之则越浅。

我们除了看出1-4，5-22基本属于同一类衍生样本之外，发现了1号Gafgyt样本与同组相似度一般，反而与5-22大部分Mirai样本有很高的热力值。借此，本文将对于疑似变异Gafgyt样本与其他Mirai进行更进一步的分析。

（三）逆向分析

1、Gafgyt组分析结果

图1 样本基因分析热力图

1）全部都在.rodata前段找到大量存储的linux系统指令，包括用户登陆和调用网络通信。

2）在相同内存段后段找到大量存储的提示字符串。

3）在三个样本中都找到了不同的IP通讯地址，疑似是恶意代码用来通讯和传输的地址，对所有地址利用信誉引擎进行恶意信誉查询，可以判定：

2、Mirai组分析结果

1）在.rodata段后段存储了许多加密过的数据，与Gafgyt不同（图 2）。

寻找部分并解码后发现名为Table_Killer_Safe的函数，继续搜索发现很多类似命名的函数，执行的功能推测是关闭telnet,http,ssh等接口防止被其他类似功能病毒感染。

2）三个样本都存储了密码数据（图3）

abcdefghijklmnopqrstuvw012345678类似密码的数据，也都调用了watchdog。

3）在d9fe3d7436659fca1ddc54的Mirai样本中发现了IP地址185.244.25.153，通过信誉引擎查询，发现该IP提供下载了 8UsA.sh 等文件。

与Gafgyt变异样本所下载文件相同，如下图所示：

将上面代码整理后得到：

图2.rodata段后段存储的加密数据

图3 样本存储的密码数据

4）分析结果

通过上面的分析，我们对比了在热力图中显示疑似变异的Gafgyt样本（简称变异样本）与另一组中部分Mirai样本。发现了变异样本和自身同组其他Gafgyt样本具有类似的文件内容，确实符合Gafgyt的分组。同时，也发现了变异样本与另一组Mirai样本通过IP调用了同样的.sh脚本文件，从运行方式上与Mirai样本也有着相似度。

所以我们可以得到这样的结论，从特征检测的角度出发，我们可以把样本按照预制的规则区别成Mirai和Gafgyt，但这种识别和区分事实上会给实际应对和处置工作带来困惑。因此，如果从基因视角看，则是面向群体的结论，即：mirai_4147e375f325878fe3c3962c3d4ac411c47ddbef同时拥有两种不同类型样本的基因，包括了Gafgyt，因此在应对时应增加更多的机制与算法。

三、结论

万物互联美好时代背后也隐藏着诸多风险，相较互联网时代的威胁，物联网信息安全问题更多元、更复杂、更叠加。如果从“软件基因”的视角看物联网网络威胁攻击防御的基本面的话，至少可以有以下一些结论：

一是目前网络空间安全威胁已经出现由对抗黑客向对抗黑产的重大转变。现在炫耀自身技术的小黑客已经越来越少了，取而代之的是越来越完整的黑产利益链，有组织、有目的的攻击越来越多，应对需要更多元的技术体系。

二是各个著名物联网僵尸网络家族木马直接的关联性越来越强。由于部分开源武器曝光，降低了发起大规模物联网网络攻击的行动门槛，也加大了各个木马家族的代码关联性。目前杀毒软件在提高识别精准度的同时，一般不会给一个样本多个名字，只会依据自己的特征库及算法把病毒归于某一类，但这种现状事实上为用户的响应处置带来了一些困惑，特别是对有家族和成规模的网络攻击威胁。

三是网络攻击识别响应应当从面向个体的分析加速向面向群体的分析拓展。特征检测本质上是面向个体的分析，特征库越来越大，大数据、AI等技术引入特征识别，将有效提升分析的精度。但同时也应注意，在提升精度的同时，如何由点及面，扩展分析的广度，有待业内不断进行思路和技术方法创新。