RSA 2018：利用Fiercecroissant抓取 Pastebin 上的混淆恶意软件

在RSA 2018年的会议上，演讲者Patrick Colford，一位来自Cisco Umbrella（前身为OpenDNS）的网络安全分析师，探讨了关于 Pastebin 的一个关键议题——"the_bottom_of_the_barrel_scraping_pastebin_for_obfuscated_malware"。Pastebin 是一个知名的代码和文本分享平台，然而它也成为了恶意软件的藏身之处，尤其是那些经过精心混淆的样本。 演讲内容分为四个部分： 1. **介绍**：Colford首先介绍了自己，包括他在Cisco Umbrella的职业背景，以及他在ODNS的五年工作经验。他是一位热衷于教学、舞蹈、游戏、音乐剧和旅行的多才多艺人士，且正值4月19日生日，现场还与听众分享了他的个人生活点滴。 2. **问题阐述**：演讲的核心问题聚焦于Pastebin上发现的大量混淆恶意软件。他指出，平台上的许多恶意代码被设计得难以识别，使得传统的安全措施难以应对。这部分列举了几个实例，强调了现实生活中的恶意软件威胁，包括在过去的五年里，Pastebin一直是此类代码的常见来源。 3. **解决方案**：面对这一挑战，Colford提出了名为"Fiercecroissant"的粗糙但有效的工具。Fiercecroissant是一个专门用来抓取并分析Pastebin上可疑内容的简易刮削器。它通过三步策略来防止恶意内容传播：首先，它扫描 Pastebin；其次，它识别潜在的混淆代码特征；最后，将这些信息提供给安全团队进行进一步的分析和响应。 4. **发现与应用**：演讲者分享了他们在Pastebin上的发现，包括一些有趣的用户行为和模式，以及这些信息可能的应用。这不仅限于阻止恶意软件，还包括如何利用这些数据进行威胁情报收集，帮助组织提升网络安全防御能力，甚至作为培训和教育材料，提升安全意识。 这次演讲不仅揭示了Pastebin作为恶意软件传播平台的问题，还展示了通过创新工具和技术来解决这类挑战的可能性。它提醒了网络安全从业者们在应对现代威胁时，需要灵活并持续地更新他们的监控和防护手段。