2109暗物质:揭开DarkComet RAT生态系统摘要布朗·法林霍尔特加州大学圣地亚哥达蒙·麦考伊纽约大学Mohammad Rezaeirad乔治梅森大学基里尔·列夫琴科伊利诺伊大学香槟分校攻击者远程访问特洛伊木马(RAT)是一种持久性恶意软件,可让攻击者直接交互式访问受害者的个人计算机,使攻击者能够窃取私人数据,使用摄像头和麦克风实时监视受害者,并通过扬声器口头骚扰受害者。 到目前为止,由于感染的不引人注目的性质,这种有害形式的恶意软件的用户和受害者在野外观察具有挑战性。在这项工作中,我们报告了DarkComet RAT生态系统的纵向研究结果。使用已知的方法从DarkComet控制器收集受害者日志数据库,我们提出了新的技术,用于跟踪RAT控制器的主机名变化,并改进了现有的技术,用于过滤扫描仪和沙箱恶意软件执行造成的虚假受害者记录。我们从1,029个独立控制器中下载了6,620个DarkComet数据库,这些控制器的运行时间超过5年我们的分析显示,在此期间,至少有57,805名DarkComet受害者,每天有69名新受害者被感染;其中许多人的网络攻击已被捕获,行动记录,并在此期间监控网络摄像头。我们更精确地识别活动和受害者的方法可能有助于提高受害者清理工作的效率和效力,并优先考虑执法调查。CCS概念• 安全和隐私→恶意软件及其缓解。关键词安全;恶意软件;远程访问特洛伊木马ACM参考格式:Brown Farinholt,Mohammad Rezaeirad,Damon McCoy,and KirillLevchenko.2020. 暗物质:揭开暗彗星鼠生态系统。在网络会议2020(WWW '20)的进行中,2020年4月20日至24日,台北,台湾。ACM,纽约州纽约市,美国,12页。https://doi.org/10.1145/3366423.33802771介绍传统形式的恶意软件通过大规模的非法活动为不法分子创造收入,无论是垃圾邮件,点击欺诈还是勒索赎金。此类恶意软件的直接受害者会将感染视为CPU周期、网络带宽或金钱的盗窃。虽然总体上代价高昂,但每个用户的损失最终是有限的本文在知识共享署名4.0国际(CC-BY 4.0)许可下发布。作者保留在其个人和公司网站上以适当的署名传播作品的权利WWW©2020 IW 3C 2(国际万维网大会委员会),在知识共享CC-BY 4.0许可下发布。ACM ISBN 978-1-4503-7023-3/20/04。https://doi.org/10.1145/3366423.3380277远程访问特洛伊木马(RAT)将这种安排更改为攻击者单独与每个受害者交互的安排,搜索受害者与传统恶意软件相比,其运营商通过非法活动赚取了数百万美元[41],RAT运营商的经济收益必然受到他们可以控制的受害者数量的限制。然而,从受害者的角度来看,RAT感染不仅可能导致经济损失,而且由于RAT运营商的勒索和性骚扰而导致重大的情绪困扰[ 14,19 ]。因此,RAT操作员明显的业余性质和他们造成的微不足道的经济损失掩盖了他们造成的更大的个人伤害。不幸的是,除了少数备受瞩目的案例外,对受害者知之甚少,因为已发表的RAT研究主要集中在攻击者,他们的行为,实践和商业模式上[25,42]。与大多数恶意软件研究相反,本文的主要重点是RAT的受害者。研究老鼠受害者的一个相当大的挑战是我们对这一人群的可见度有限。RAT的受害者很难识别:感染RAT的计算机通常不会进行点击欺诈、发送垃圾邮件、参与DDoS攻击或以其他方式突出外部观察者。因此,与僵尸网络不同的是,即使是衡量此类受害者的人数也构成了特殊的挑战。在本文中,我们已经创建了一个框架,用于分析从RAT运营商收集的数据,使我们能够研究RAT恶意软件的受害者的RAT控制器软件通常维护每个受感染的受害者的数据库以及与该受害者有关的数据(例如,被捕获的鳄鱼的日志通过将这些数据库中的受害者条目视为祖先的形式,我们已经开发了用于跨主机名变化跟踪RAT控制器以及用于理解关于其控制器软件的起源的它们的起源的技术。此外,我们提出了对现有虚假受害者记录删除技术的改进[58],这些技术能够使用匿名受害者元数据从这些数据库中删除另外40%的可能虚假受害者。 这使我们能够以高置信度确定哪些记录对应于真正的受害者。一种名为DarkComet的流行RAT的独特功能为我们提供了大规模收集这些受害者数据库的机会。 无论是故意添加还是错误添加,DarkComet都可以通过命令和控制通道向控制器软件发出特定命令来下载其受害者数据库。我们用这个机制下载了6620个2110WWW受害者数据库来自1,029个不同的控制器,我们在监控来自MalwareConfig、Shodan、VirusTotal和ReversingLabs的样本中的69,227个域时发现了这些数据库。使用我们开发的跟踪控制器和过滤虚假受害者记录的技术,并遵循严格控制的匿名受害者私人数据的方法,我们报告了五年内虽然由于我们的数据收集技术的限制,这项研究并不全面,但我们观察到的样本集使我们能够了解暗彗星生态系统的受害者以及他们遭受的网络摄像头和其他形式的监视等危害。 我们更精确地识别活动和受害者的方法可能有助于提高受害者清理工作的效率和效力,并优先考虑执法调查。总之,本文的主要贡献是:❖ 我们描述了一种方法,用于跟踪控制器的黑暗彗星,一种流行的商品RAT,主机名的变化的基础上,他们的受害者的系统发育分析❖ 我们描述了一种方法,用于识别真正的DarkComet受害者的蜜罐,扫描仪和VM执行恶意软件的研究人员的存在。❖ 我们详细介绍了我们大规模收集DarkComet受害者信息的过程,并展示了我们对所研究生态系统中受害者的分析结果他们所遭受的伤害以及他们与攻击者的关系本文的其余部分组织如下。第2节为本文提供了必要的背景。第3节描述了我们的数据收集方法;重要的是,第3.4节讨论了我们的道德和法律考虑。第4节描述了我们如何处理收集的数据。第5节介绍了我们的结果。第6节讨论了我们的发现。第七节是论文的结论。2背景这项工作的目的是报告受害者的黑暗彗星,一个众所周知的老鼠。在本节中,我们为我们的研究提供了DarkComet的必要背景。2.1DarkComet RATDarkComet是典型的RAT,因其功能而受欢迎,可在线免费下载,并得到黑客论坛社区和YouTube上大量教程视频的[19]。自2011年以来,它已被网络犯罪分子广泛用于性骚扰[2],偷窥[19],以及在极少数情况下,国家行为者[24,42]和商业秘密盗窃[38,39,64]的攻击DarkComet的多种用途的说明,最着名的是它的使用sextorist对美国小姐青少年[2,3,6,18]和叙利亚政府对政治持不同政见者在叙利亚内战[27,42,46,52,59,61]。Marczak等人[42]提供了一个特别详细的检查DarkComet的使用在后者的运动。如此高调的使用自然使DarkComet成为工业界和学术界分析恶意软件研究人员已经深入研究了各个DarkComet活动[5,8,15,37,62],并彻底分析了其网络协议[9][10][17]。Denbow和Hertz [17]和Breen [7网络协议握手和可执行配置。最近,Farinholt et al. [25]研究了DarkComet运营商本身在野外的行为,而Rezaeirad等人。[58] 通过 对数 千 个 与 RAT 相 关 的域 进 行 下 沉 钻 孔 来 研 究DarkComet生态系统。我们在本文中使用以下术语操作员:歹徒用老鼠交互式地控制受害者受害者:计算机感染RAT存根的用户,可能成为控制者勒索企图的目标控制器:操作员用来配置和构建存根以及控制受害者计算机的软件。也是运行它的主机。存根:受害者计算机上的恶意软件2.1.1下载受害者数据库。 DarkComet允许操作员配置存根以从控制器自动下载文件,例如,从控制器下载更新或辅助有效载荷。Denbow和Hertz [17]对DarkComet网络协议进行了逆向工程,发现DarkComet允许连接到控制器的存根从控制器请求和下载任何文件,而无需通知操作员。在第3.2节中进一步描述,我们使用此功能收集有关DarkComet操作受害者的信息。DarkComet在SQLite数据库文件中存储有关每个受感染受害者的信息。研究人员之前已经研究了从控制器获得此数据库的可能性;特别是,Breen [8- 10 ]提出使用DarkComet的任意文件下载功能来收集DarkComet控制器数据库用于研究目的。Breen的dc-toolkit[ 7 ]提供了一组用于下载DarkComet数据库的工作Python脚本,该脚本后来作为一个模块并入Metasploit [ 11,31 ]。Breen[8]还检查了他用dc-toolkit下载的示例数据库的内容,突出显示了其中的一些敏感内容,例如keylog表。2.1.2黑客包共享. DarkComet最初由其作者DarkCoderSc从官方网站免费提供下载[40]。然而,在叙利亚内战开始时,叙利亚政府在针对持不同政见者的网络间谍活动中广泛使用DarkComet之后,其作者将其从官方网站上删除[27,46,59]。 官方网站上写道:“DarkComet-RAT的开发于2012年7月无限期停止。自[原文如此]以来,我们不提供下载、拷贝或支持。尽管如此,DarkComet还是可以下载的,打包成所谓的黑客包或黑客包,RAT和其他恶意软件的集合,在黑客论坛上出售或免费分发。许多RAT黑客包由RAT运营商捆绑和分发,希望提高他们在黑客论坛中的声誉这些运营商将他们个人使用的RAT软件打包用于分发。 RAT控制器可执行文件(包括DarkComet.exe)从包含其支持DLL的目录(例如, SQLite.dll),黑客包分销商简单地压缩和船舶这整个目录。 同一目录还包含受害者SQLite数据库,存储在名为comet.db的文件中。大多数黑客包还包括这个数据库文件,其中包含以下记录:◦◦◦◦2111Dark Matter:Uncovering the DarkComet RAT Ecosystem WWW被黑客包创建者感染的受害者我们在4.1.1节中利用这种现象来了解我们从现场控制器获得的受害者数据库的祖先。2.2RAT控制器发现BladeRunner [22]是第一个通过模拟RAT受害者来主动发现RAT控制器的基于扫描的系统从那时起,Shodan与Recorded Future[30]合作,增加了主动探测功能。在我们的数据中识别和排除此类污染的技术,如第4.2节所述。3数据收集图1说明了我们收集DarkComet受害者数据库的方法,我们将在本节中描述以及众多RAT家族的横幅标识,包括DarkComet,Shodan恶意软件猎人项目[43]。记录恶意软件ConfigShodan猎人病毒总@人渣机器人换向实验室Future [33]最近介绍了其使用Shodan恶意软件猎人来识别活动的RAT控制器和企业感染超过四年的操作,包括发布检测到的控制器的IP地址[32]。据我们所知,Shodan恶意软件猎人代表了行业中 Marczak等人 [42]创建了一个扫描器,能够通过触发错误条件来检测隐形的APT控制器。最近,Farinholt et al. [25]提出了一个扫描器,使用ZMap [21],Shodan和自定义端口扫描器来检测DarkComet控制器,基于他们的初始握手挑战。我们的扫描仪5,7196,37573033146,199配置76,972IPS148,903IPS扫描仪3,35069,227域解析器64,276就是基于这些系统。2.3估计感染人口6,035黑暗彗星下载器6,620个数据库从3,518恶意软件感染规模测量和估计的准确性长期以来一直是以僵尸网络为重点的测量研究所提出的问题。 Ramachandran等人 [54]提出了一种基于DNS查找C& C域的频率来估计僵尸网络感染规模的方法。随后的一对僵尸网络研究使用DNS查找[16]和IRC通道监控[1]作为测量向量,但由于流失[53]而得出不同的估计。最近,Antonakakis et al. [4]使用各种技术来衡量Mirai僵尸网络的规模和范围,包括主动扫描和运行所谓的挤奶器以获取攻击命令。2.4了解数据集污染我们的数据处理方法的一部分需要对我们的数据进行预处理,以删除干扰测量和反击行动所引入的记录在恶意软件感染规模估计中,这是一个特别重大的障碍,因为安全研究人员和反恶意软件供应商都普遍采用这种操作。 一些僵尸网络测量研究已经阐述了数据集污染的问题[23,29,47,51,60]。特别地,Kanich et al. [34]表明,当使用简单的估计方法时,由干扰测量操作和网络中的其他活跃参与者引起的数据集污染可以将Storm僵尸网络的测量大小放大10到20倍。测量污染的另一个常见来源是恶意软件的沙箱执行。 我们试图通过将我们自己的恶意软件样本提交到互联网连接的沙箱服务来获得有关沙箱的测量工件,模仿Yokoyama等人展示的方法的一部分来对抗这一点。[63]第一章。具体涉及RAT恶意软件,Rezaeirad等人。 [58]最近调查并列举了RAT生态系统中的“利益相关者”,图 1 : 我 们 的 数 据 收 集 方 法 的 图 示 , 从 从 威 胁 源 获 取DarkComet配置到从检测到的主机下载数据库。3.1控制器发现DarkComet协议是有密码保护的,所以我们不能通过在互联网上扫描控制器来获取下载受害者数据库的目标。相反,从2016年12月1日到2019年7月6日,我们从图1中的恶意软件源中收集了146,199个独特的Dark-Comet控制器配置。许多配置使用域名来寻址其DarkComet控制器,因此我们不断解析每个可疑的DarkComet域名,以增加可疑DarkComet主机IP地址的列表。在图1中的源中,只有Shodan没有提供域名;但是,Shodan的提要提供的所有IP地址也存在于其他源的配置中,或者在域解析期间发现。我们实现了一个自定义的互联网扫描器来检测RAT控制器。我们的扫描仪不断探测这224,172个目标主机的最终列表,以获取DarkComet网络签名。 从2018年12月5日到2019年7月6日,我们与6,035名现场暗彗星主机取得了联系。从其中的3,518台主机中,我们成功下载了数据库,记录了它们的主机名和解析的IP地址。在这213天的观测期间,我们每周监测大约500个活跃的DarkComet控制器3.1.1分析基础设施使用情况。16.5%的Dark- Comet主机使用已知的VPN或VPS服务,主要是IPjetable和Relakks VPN。[1]使用匿名基础设施的主机数量相对较少,这表明我们数据集中的DarkComet操作员可能缺乏基本的操作安全措施。扫描和凿孔,调整他们的方法,污染RAT生态系统的积极参与者我们采用他们的1我们使用MaxMind和Recorded Future编制匿名IP范围列表。2112WWW因此,像ZMap这样的互联网范围的扫描器可以潜在地定位大多数这些运营商3.1.2动态DNS使用。 由于动态DNS(DDNS)是DarkComet运营商中流行的工具[58],我们将数据集中RAT配置中的域名与属于119个著名DDNS提供商的1,193个域名进行了比较。我们发现DarkComet运营商使用的大多数域名属于两个免费DDNS提供商之一,No-IP和DuckDNS。DarkComet的控制器软件明确地与No-IP的更新客户端接口,这可能是其受欢迎的原因。3.2受害者数据库获取这项研究的中心焦点是DarkComet数据库。 在本节中,我们将描述如何获取DarkComet数据库的数据集,以及它们包含哪些信 息 。 在 第 2.1.1 节 中, 我 们 描 述 了Denbow 和 Hertz 发 现DarkComet的任意文件下载功能[ 17 ]。总之,模拟DarkComet存根的网络设备可以从其连接的任何控制器请求任意在这一发现之 后 , Breen 发 布 了 dc-toolkit [7] , 这 是 一 个 用 于 从DarkComet控制器中盲目检索文件的Python工具。 我们使用此工具的修改版本来收集受害者数据库和DarkComet配置文件,这些文件来自我们的扫描仪发现的DarkComet控制器。3.2.1暗彗星受害者数据库在执行时,DarkComet控制器可执行文件(DarkComet.exe)在其名为comet.db的工作目录中创建或加载一个文件。这个SQLite数据库管理受害者连接,并在下面的3.2.2节中详细描述。 我们从DarkComet. exe的工作目录下载了这个文件。从2018年12月5日到2019年7月6日,我们从3,518个唯一IP地址下载了6,620个数据库 每次我们下载DarkComet数据库时,我们都会将一个唯一的、受污染的受害者记录(一个污点)附加到其dc_users表中(有关此表的更多详细信息,请继续参阅第3.2.2节)。这种污染是自动发生的,因为我们的下载器在每次下载数据库时都会向控制器注册为新的受害者;我们只是污染了我们传输的受害者信息,这样我们就可以在dc_users表中唯一地识别我们的下载器的记录。3.2.2受 害 者 数 据 库 架 构 。 DarkComet 使 用 存 储 在 名 为comet.db的文件中的SQLite数据库来管理受害者连接和元数据。表1描述了每个重要表的模式,并提供了每个表的示例dc_users。此表包含一个单独的行,用于已连接到控制器的每个唯一受害者。在表1中,我们观察了dc_users表中一个示例行的内容由于此表是仅附加的,因此其内容的顺序表示受害者首次连接的顺序; IP地址或操作系统发生变化的用户将保留其原始行。这一行中的大多数项目都是不言自明的。userGroup引用dc_groups中的groupId字段。 UUID是受害机器的硬配置文件ID,由函数GetCurrentHwProfile返回,有时附加随机标识符。由于此表可能包含受害者的个人身份信息(PII),因此我们在存储它们之前对userIP和userName字段进行哈希处理 在对受害者IP地址进行散列之前,我们根据本地MaxMind GeoLite2 City数据库解析他们的地理位置[45]。dc_keyloggers。这张桌子上放着受害者的骨灰盒。每一行都包含在给定日期从受害者记录的keystokes,由引用dc_users的UUID表示name字段指的是受攻击机器上记录攻击的每日文件。 DarkComet会缓存受害者的日志,直到连接到控制器,此时所有存储的日常日志都会立即上传。contents字段存储所有捕获的受害者标记,当受害者的活动窗口改变时由受害者的活动窗口分隔由于此表可能包含PII,因此我们仅存储捕获的恶意软件数量,并且截至2019年3月25日的方法更新,字母分布和受害者活动窗口与常见应用程序和网站(如Alexa Top 100)的141个正则表达式匹配。dc_groups. 此表允许攻击者将受害者分类和注释为组。每一行都是攻击者创建的组,包括标题、副标题和页脚。这些群体往往会揭示攻击者3.2.3数 据 库 来 自 Hack Packs 。 为 了 补 充 我 们 下 载 的DarkComet数据库的数据集,我们从黑客论坛和VirusTotal的组合中下载了DarkComet黑客包。黑客包的接收者经常将它们上传到像VirusTotal这样的恶意软件扫描网站,因为黑客包中的软件(具有讽刺意味的是)经常被黑客包的打包者感染。从这个来源,我们收集了另外29个不同的DarkComet受害者数据库。 我们在第4.1.1节中使用这些数据库来描述DarkComet控制器软件的开发过程。3.2.4数据库下载失败。 在运行的第一个月,我们的下载器被一系列拒绝服务攻击禁用。从那时起,我们就使用SOCKS5匿名化来匿名化我们的下载请求,这影响了我们持续成功下载数据库的能力。在实验过程中,我们尝试了8,775次数据库下载,但有2,155次下载失败。网络连接问题是失败的主要原因,这是由于SOCKS5在大文件下载过程中出现的问题。此外,DarkComet允许操作员在下载过程中取消下载,在文件传输过程中显示一个弹出窗口,使操作员能够中止正在进行的文件传输。运营商有时会利用这一点来阻止我们下载数据库。总的来说,我们未能从802个控制器中提取单个数据库;对于另外345个控制器,一些下载成功。在我们的扫描仪检测到的6,035个DarkComet主机中,我们只尝试从4,320个下载数据库;其余1,717个由于两个因素而从未被探测过。首先,根据我们的数据收集方法所依据的法律和道德框架(见第3.4节),我们不会尝试从运行有活动Web或电子邮件服务器的主机下载,这是一项积极的措施,以避免探测不知情的受损主机被DarkComet活动用作中间基础设施。其次,我们的下载器是受网络限制的;有一些短期的DarkComet主机它永远没有机会下载数据库。3.3配置文件DarkComet还使用一个名为Node.ini的INI文件在内部管理配置信息。因此,我们于2019年3月25日更新了我们的方法,以收集此文件。从2113Dark Matter:Uncovering the DarkComet RAT Ecosystem WWW表1:DarkComet数据库中重要表的模式表格列格式示例dc_usersUUIDHWID>-<唯一后缀>{846ee340-7039-11de-9d20-806e6f6e6963-12345678}userIPWANIP>/ [
]:Port>10.0.0.5[8.8.8.8]:1604用户名主机名>/<主机>DESKTOP-432 AHT 11/管理员userOS []()Windows 7 Service Pack 1 [7601] 32位(C:\\)userGroupdc_groups:groupId>0dc_keyloggersUUID dc_users:UUID>{846ee340-7039-11de-9d20-806e6f6e6963-12345678}name Date>-< Random integer>.dc 2015-12-10-5.dc内容..dc_groups groupId连续整数>0groupTitle运 营 <商创建的标题>网络摄像头2019年3月25日至2019年7月6日,我们从2,345个唯一IP地址下载了2,963个配置文件 此文件对有关操作员与受害者交互的其他有价值信息进行编码;除其他外,此文件还通过包含受害者数据库UUID的配置节标题对操作员是否与特定受害者交互进行编码。此外,这些受害者特定部分包含指示操作员是否访问或记录受害者的网络摄像头或屏幕的键ini还包含自动化信息,列出了操作员已配置的存根在连接时执行的任务,从控制器主机名更新到DDoS目标。 它还包括操作员的No-IP登录信息和DDNS主机名,因为控制器可以自动发布IP地址更新。3.4伦理和法律考虑我们的数据收集方法的一部分模拟DarkComet受害者,并使用有据可查的DarkComet文件下载API从控制器检索受害者数据库的副本 在采用这种方法之前,我们咨询了我们机构的总法律顾问,他们确认我们的方法是合法的,部分原因是我们使用了任何DarkComet存根都可以访问的现有功能,因此我们没有“超过授权访问”,这是美国计算机欺诈和滥用法案(CFAA)的一部分。法律法规。除了咨询我们的法律总顾问外,我们还向我们的机构审查委员会(IRB)提交了我们的方案作为我们协议的一部分,我们从数据库中删除或散列可能包含个人可识别信息(PII)的所有字段,例如日志。我们还对其他敏感字段进行散列,如受害者IP地址或用户名,这通常是计算机所有者 这些数据库的编辑副本存储在具有严格访问控制和加密文件系统的服务器上。我们的IRB豁免了我们的研究,因为我们既不存储也不分析PII。尽管从法律角度来看是可以接受的,并且被我们的IRB豁免,但人们仍然可能会对我们的数据收集方法的伦理提出异议。在这里,我们提出了我们的数据收集和分析框架,在门罗报告[20]中描述的道德准则,这反过来又是基于1979年贝尔蒙特报告[49],是计算机和信息安全研究的基石。这一框架基于四项原则:尊重个人、慈善、正义以及尊重法律和公共利益。我们的框架涉及这些原则中的每一个,如下所示。尊重他人。 由于“参与”本研究不是自愿的,不能基于知情同意,我们采取了极大的不要分析受害者的PII,因为他们是最脆弱的一方。我们只收集受害者的总体统计数据。仁慈。 我们相信我们的分析不会造成进一步的伤害。我们用于收集数据的方法已在之前的公开报告和谈话中得到广泛宣传[7,9,10,17,28]。我们认为,更好地了解RAT运营商和受害者的好处正义这项工作的好处是分配给更广泛的公众,在帮助减少犯罪方面。这项研究特别有助于保护易受RAT伤害的人我们认为纳入研究对个人没有影响尊重法律和公共利益。我们描述了数据收集的法律框架,并认为它完全符合美国法律。法律为此外,参与该项目的研究人员已获得IRB的豁免 值得注意的是,虽然获取的信息可能指向某些违法行为,但确立犯罪行为的法律证据并不是本研究的目的。4数据分析处理从2018年12月5日到2019年7月6日,我们从3,518个唯一IP地址下载了6,620个DarkComet数据库只要有可能,我们就从给定的控制器多次下载数据库-每24小时不超过一次-使我们能够在213天的测量期内观察到新受害者的获取。然而,我们下载的原始数据还远远没有准备好进行分析。我们断言单个IP地址与单个控制器不同步;实际上,大多数控制器使用一个或多个域名进行寻址,而不是硬编码的IP地址。 因此,在第4.1节中,我们描述了一种基于构建数据库继承的家谱来识别来自同一控制器(可能从不同IP地址下载)的数据库的新技术。我们的技术揭示了意外的操作员行为,也在第4.1节中详细介绍。我们进一步断言,给定数据库中的一些记录可能不是真正的受害者。 Rezaeirad等人 [58]证明了许多实体正在沙箱中运行DarkComet恶意软件样本或操作高保真DarkComet网络扫描仪。这些行动污染了我们下载的数据库,伪造了受害者记录。 为了从数据集中过滤这种污染,我们首先应用Rezaeirad等人描述的技术。,然后根据我们数据集中包含的额外元数据,使用新策略改进他们的方法。 我们在4.2节中对此进行了描述。groupIdgroupTitle直流群dc_keyloggersUUID名称内容直流用户UUID用户IP用户名用户操作系统2114WWW4.1数据库属性当我们从控制器下载数据库时,我们会记录用于联系控制器的主机名,该主机名可以是域名或原始IP地址。 此主机名用于在实验过程中唯一标识特定的控制器,使我们能够跟踪由多个IP地址中的域名标识的控制器。根据我们的DarkComet样本语料库,我们知道一些控制器使用多个主机名。 我们认为出现在同一DarkComet示例中的任何域名和IP地址都属于同一控制器。使用这种基于主机名的初始整合技术,我们将下载数据库的3,518个DarkComet IP地址压缩到1,162个控制器。这些控制器中有667个通过域名识别,占3,518个IP地址(3,023个)的86%,占6,620个下载数据库(4,750个)的72%。其余495个IP地址标识具有硬编码IP的控制器,其他1,870个数据库属于这些控制器。有趣的是,我们的DarkComet样本中只有15%包含硬编码的IP地址,而他们识别的活动控制器的比例为41%。因为一个控制器可以产生具有多个不相交配置的存根,所以在我们的数据集中,每个数据库可能有多个控制器主机名因此,1,162是我们观察到的唯一控制器数量的高估为了识别在不同主机名下联系同一控制器的数据库的情况,我们使用dc_users中的记录来构建DarkComet数据库的继承树。4.1.1DarkComet数据库DarkComet数据库中的dc_users表是仅附加的,这意味着当控制器感染新的受害者时,受害者的元数据被附加到dc_users表。返回的用户由他们的UUID标识,因此不会为同一个受害者创建重复的记录因此,dc_users中记录的顺序描述了相应受害者被感染的顺序。每次我们从控制器下载dc_users表时,我们都希望它有新的受害者附加到末尾,以便以前下载的dc_users表是新表的前缀。此外,回想一下,每次下载dc_users表时,我们都会向其中添加一个唯一的受害者记录(或污点),因为连接到控制器的过程会生成一个受害者记录。因此,控制器使用上面描述的dc_users表的单调增长属性,我们可以通过数据库识别控制器,即使我们使用不同的主机名和IP地址联系它应用此技术,使用211个主机名或硬编码IP地址识别78个控制器,将不同控制器的数量从1,162(仅通过主机名识别)减少到1,029。因此,我们基于祖先的技术将控制器数量从原始(但通常报告)的3,518个IP地址减少了70%在我们的数据集中完全整合了控制器之后,我们发现71%的控制器只使用一个IP地址;其余的控制器在观察窗口期间遍历了多个IP地址。此外,19%的控制器在访问期间主动切换域名。观察. 在这些情况下,我们的控制器跟踪方法是必要的,以准确地报告所观察到的控制器。4.1.2数据库分歧。如果两个控制器从相同的初始数据库开始,然后继续获取不同的受害者,则这两个数据库将共享来自初始数据库的用户记录的公共前缀,随后是每个控制器获取的受害者的不同序列。这正是当两个或多个运营商从一个共同的黑客包开始时所发生的情况(第2.1.2节和第3.2.3节):他们的dc_users表将分别包含从黑客包继承的受害者集合,然后是每个运营商我们使用术语分歧来描述两个或多个数据库在其dc_users表中具有共同的受害者记录的非空前缀和受害者记录的不同非空后缀的情况如果,对于我们语料库中的两个不同的数据库,没有包含它们共同前缀的数据库,我们推断这样的祖先数据库并将其添加到我们的数据集。 收集和推断的数据库现在可以被安排到表示数据库继承的树的森林中。继承树的节点表示数据库,如果父节点的dc_users表是子节点的dc_users表的前缀,即如果子节点从父节点派生,则具有从父节点到子节点的边。(请注意,在DarkComet继承树中从来没有收敛点,因为没有机制将两个数据库中的记录组合成一个新的数据库,因此继承树确实是一个格式良好的树。除了黑客包,当控制器恢复到数据库的早期版本时,数据库可能会当操作员在虚拟机中运行RAT控制器软件并定期将虚拟机状态恢复到较早的快照时,会发生这种情况与数据库共享的情况不同(例如,通过黑客包),在任何给定的时间点,将存在通过回归从共同祖先导出的至多一个数据库,而在给定的时间点,可以存在从活动的同一黑客包导出的多个数据库。此外,通过恢复相关的数据库可以从由相同主机名标识的控制器下载,而通过共享相关的两个不同数据库不应出现在同一控制器上。只有11%的控制器(116)表现出这种行为;他们在观察期间总共恢复了497次数据库。图2显示了来自我们数据集的具有两个继承树的片段。 空心圆圈表示研究过程中下载的数据库。 推断的祖先数据库以黑色阴影显示:黑色圆圈表示推断的回归数据库,黑色正方形表示推断的共享数据库。 灰色方块表示已知的黑客包(公共共享数据库)。总的来说,这组继承树包括6,620个下载的数据库,164个通过回归相关的推断的祖先数据库,43个推断的共享数据库,这些数据库是未知的黑客包和17个已知的黑客包。4.1.3Hack Pack Prevalence. 值得注意的是,68%的控制器数据库来自推断的黑客包,而45%是基于我们拥有的17个黑客包之一。 这表明在DarkComet社区中黑客包共享的流行,以及DarkComet控制器软件下载的相对较少的来源点。我们发现,使用黑客包对应于更长的操作时间,以及更多的受害者;中位数黑客包用户积累3倍2115†††††Dark Matter:Uncovering the DarkComet RAT Ecosystem WWW图2:重建的DarkComet数据库继承树的片段空心圆圈是从单个控制器下载的数据库序列;灰色矩形是已知的黑客包;黑色矩形是推断的黑客包,不是我们的黑客包语料库的一部分;黑色圆圈是单个控制器的回归点。同样多的受害者,手术时间是原来的13倍Section5中的所有离群攻击者都是从黑客包中获取DarkComet的。4.1.4助理总监 我们成功地从大约44%的控制器中下载了一个数据库。 我们只从14%的控制器下载了10个或更多的数据库,并且能够在测量期间的每一天下载数据库的只有3%。同样,55%的控制器被观察不到5天,计算为从给定控制器的第一次和最后一次下载之间的差异,而只有25%被观察了30天或更长时间。(回想一下,44%的控制器只见过一次。这种高损耗导致从大部分控制器收集稀疏数据我们假设这种现象是几个因素的结果首先,根据第3.2.4节,我们的下载器对运营商可见;我们怀疑发现的迹象会促使运营商放弃DarkComet或其当前的基础设施(例如,域名)。第二,我们认为,许多DarkComet行动本质上是短暂的,甚至是实验性的,因此,无论我们如何干预,它们都会很快失效;在第5.1节中进一步探讨这一点。表2:异常检测逻辑过滤的记录和UUID。许多记录显示出不止一个异常。描述记录UUIDUUID字段无效6,346,79482.4%345,37372.4%匹配已知扫描仪(dc_toolkit)5,267,53868.4%276,26257.9%userOS字段无效1,181,572 15.3% 81,093 17.0%在黑客包453,536 5.9% 15,053 3.2%匹配可疑扫描仪256,821 3.3% 33,080 6.9%缺少预期的数据161,572 2.1% 19,199 4.0%匹配已知扫描仪(我们的)56,612 0.7% 6,482 1.4%匹配已知沙盒51,392 0.7% 3,755 0.8%用户IP字段无效15,729 0.2% 1,308 0.3%空UUID字段1,086 0.1% 1 0.1%不正常增长空userOS字段178 0.1% 2 0.1%用户名字段无效92 0.1% 25 0.1%用户名字段为空29 0.1% 1 0.1%空用户IP字段29 0.1% 1 0.1%原始异常受害者6,582,32685.4%385,18180.7%新的异常受害者<$312,152 4.1% 23,983 5.0%黑客包中的受害者总数303,701 3.9% 10,323 2.2%单独受害者总数506,407 6.6% 57,805 12.1%记录总数7,704,586百分之一百477,292百分之一百4.2识别受害者污染正确识别和清点受害者对于了解所观察到的DarkComet活动的范围和严重性至关重要DarkComet为每个受害者分配一个通用唯一标识符,或UUID。在第5节中,我们将考虑此UUID等同于受害者;然而,由于冒名顶替者受害者可以向控制器伪造他们的UUID,我们首先根据记录(即dc_users表中的行)来描述我们的减少工作在6,620个数据库的dc_users表中4.2.1静态异常检测。 Rezaeirad等人 [58]指出,在DarkComet生态系统中有“活跃的参与者”冒充受害者,包括恶意软件沙箱和网络扫描器(像我们自己)。 我们将他们描述的技术应用于DarkComet数据库的dc_users表中的受害者记录,以检测和过滤这些实体。表2列出了我们首先检测和过滤冒名顶替者受害者的异常情况,以及每个规则过滤的记录数我们发现Rezae
我的内容管理
展开
