從“軟件基因”視角看物聯網網絡威脅攻擊防御的基本面

◎上海戎磐網絡科技有限公司 劉旭

伴隨萬物互聯時代到來，物聯網安全也日益凸顯。美國最新公布的《2016—2045年新興科技趨勢報告》認為，到2045年，將有超過1千億的設備連接在互聯網上，隨著物聯網發展以及常用連接越來越多，網絡安全將成為網絡行業的首要話題。在眾多物聯網網絡攻擊威脅的樣式中，通過控制物聯網傳感器發起大規模DDoS攻擊的案例呈爆發趨勢，值得關注和警惕。

需要說明的是，看似DDoS攻擊對普通個人似乎并沒有多大影響，而實際上卻可能嚴重影響人們的生活和工作，甚至威脅國家和互聯網的安全。當DDoS僵尸網絡執行攻擊時，物聯網傳感器這些“肉雞”也都屬于受害者。2016年10月，美國域名服務商Dyn遭到大規模物聯網僵尸網絡DDoS攻擊，導致美國東部大面積不能正常上網。同年11月底，造成德國90多萬臺路由器和固定電話的網絡癱瘓，就是因為相關物聯網設備被植入Mirai家族木馬并執行DDoS攻擊造成的網絡堵塞。著名的Gafgyt僵尸網絡于2014年8月第一次被發現，特別是2014年末在Lizard Squard（Xbox Live）與PlayStation Network的DDoS攻擊發生后變得更加有名。2015年1月Gafgyt的源代碼被公開，目前Gafgyt也是存在最多變型的惡性代碼。在全球控制物聯網節點超過10萬。而黑客的攻擊目標也從小范圍的網絡目標，升級到商業之間的競爭、國家金融服務，甚至國家之間的政治、軍事行動等等。如今，DDoS僵尸網絡搭建的簡易性和廉價性，給互聯網安全和我們日常生活和工作造成的威脅日趨嚴峻，維護網絡安全發展仍然任重道遠。

傳統網絡安全分析技術大都基于特征檢測，總體看，在經過近10余年的發展，在識別、檢測、響應、處置網絡安全威脅方面積累了大量規則數據，誕生了大量新型安全技術。但也存在一些短板，比如個體識別向群體識別邁進不足，在提升防御精度的同時擴展廣度能力有限等等。因此，行業里已經出現一些企業創新提出“軟件基因”的新型思路，以全新視角看待網絡空間。

一、軟件基因視角

“軟件基因”技術借鑒生物基因認識生命本源的思想，提出以“基因”視角認識網絡空間并解決多種網絡安全技術痛點，是和傳統基于“特征檢測”并行的技術路線，是我國自主首創全球領先的基礎性創新技術。“軟件基因”技術圍繞軟件本身“同源未必相似、相似未必同源”的安全屬性，從軟件代碼的“遺傳性”和“變異性”兩方面進行了系統技術驗證，打破了傳統安全主要基于“特征檢測”的技術路線，為新型網絡安全技術發展與應用提出了新的研究方向。橫向看，2017年3月，維基解密曝光大量美國CIA網絡武器庫，其中的Umbrage項目通過收集大量公開的黑客工具、攻擊技術、泄露數據等信息，通過模仿、混淆等方法生成新工具，發起迷惑對手、嫁禍于人、隱藏自己網絡攻擊，有一定“基因混淆”的思想，但具體進展不詳。國外一些研究人員近年來提出針對軟件的胎記（Birth Mark）識別，本質仍是基于特征的，主要用于對軟件的知識產權檢測，并不針對網絡空間。

二、以軟件基因視角看待Mirai家族和Gafgyt家族的關系案例

Mirai家族和Gafgyt家族都是著名的物聯網僵尸網絡木馬家族，以其樣本為研究分析對象，利用上海戎磐網絡科技有限公司惡意代碼軟件基因分析引擎核心產品，繪制樣本基因圖譜，生成基因關聯分析熱力圖，可以得到以下結論：

（一）分析樣本

第一組是Gafgyt組：包含推測變種的Gafgyt和兩個對照樣本。

第二組是Mirai組：包含與變種樣本相似度較高的三個Mirai樣本。

（二）基因分析

我們利用基因分析引擎將一組Gafgyt和Mirai樣本通過基因檢測的方式進行分析后得出了一張熱力圖（圖1）。圖中坐標軸數字是樣本的編號，顏色深淺表示樣本相似度，顏色越紅表示相似度越高，反之則越淺。

我們除了看出1-4，5-22基本屬于同一類衍生樣本之外，發現了1號Gafgyt樣本與同組相似度一般，反而與5-22大部分Mirai樣本有很高的熱力值。借此，本文將對于疑似變異Gafgyt樣本與其他Mirai進行更進一步的分析。

（三）逆向分析

1、Gafgyt組分析結果

圖1 樣本基因分析熱力圖

1）全部都在.rodata前段找到大量存儲的linux系統指令，包括用戶登陸和調用網絡通信。

2）在相同內存段后段找到大量存儲的提示字符串。

3）在三個樣本中都找到了不同的IP通訊地址，疑似是惡意代碼用來通訊和傳輸的地址，對所有地址利用信譽引擎進行惡意信譽查詢，可以判定：

2、Mirai組分析結果

1）在.rodata段后段存儲了許多加密過的數據，與Gafgyt不同（圖 2）。

尋找部分并解碼后發現名為Table_Killer_Safe的函數，繼續搜索發現很多類似命名的函數，執行的功能推測是關閉telnet,http,ssh等接口防止被其他類似功能病毒感染。

2）三個樣本都存儲了密碼數據（圖3）

abcdefghijklmnopqrstuvw012345678類似密碼的數據，也都調用了watchdog。

3）在d9fe3d7436659fca1ddc54的Mirai樣本中發現了IP地址185.244.25.153，通過信譽引擎查詢，發現該IP提供下載了 8UsA.sh 等文件。

與Gafgyt變異樣本所下載文件相同，如下圖所示：

將上面代碼整理后得到：

圖2.rodata段后段存儲的加密數據

圖3 樣本存儲的密碼數據

4）分析結果

通過上面的分析，我們對比了在熱力圖中顯示疑似變異的Gafgyt樣本（簡稱變異樣本）與另一組中部分Mirai樣本。發現了變異樣本和自身同組其他Gafgyt樣本具有類似的文件內容，確實符合Gafgyt的分組。同時，也發現了變異樣本與另一組Mirai樣本通過IP調用了同樣的.sh腳本文件，從運行方式上與Mirai樣本也有著相似度。

所以我們可以得到這樣的結論，從特征檢測的角度出發，我們可以把樣本按照預制的規則區別成Mirai和Gafgyt，但這種識別和區分事實上會給實際應對和處置工作帶來困惑。因此，如果從基因視角看，則是面向群體的結論，即：mirai_4147e375f325878fe3c3962c3d4ac411c47ddbef同時擁有兩種不同類型樣本的基因，包括了Gafgyt，因此在應對時應增加更多的機制與算法。

三、結論

萬物互聯美好時代背后也隱藏著諸多風險，相較互聯網時代的威脅，物聯網信息安全問題更多元、更復雜、更疊加。如果從“軟件基因”的視角看物聯網網絡威脅攻擊防御的基本面的話，至少可以有以下一些結論：

一是目前網絡空間安全威脅已經出現由對抗黑客向對抗黑產的重大轉變。現在炫耀自身技術的小黑客已經越來越少了，取而代之的是越來越完整的黑產利益鏈，有組織、有目的的攻擊越來越多，應對需要更多元的技術體系。

二是各個著名物聯網僵尸網絡家族木馬直接的關聯性越來越強。由于部分開源武器曝光，降低了發起大規模物聯網網絡攻擊的行動門檻，也加大了各個木馬家族的代碼關聯性。目前殺毒軟件在提高識別精準度的同時，一般不會給一個樣本多個名字，只會依據自己的特征庫及算法把病毒歸于某一類，但這種現狀事實上為用戶的響應處置帶來了一些困惑，特別是對有家族和成規模的網絡攻擊威脅。

三是網絡攻擊識別響應應當從面向個體的分析加速向面向群體的分析拓展。特征檢測本質上是面向個體的分析，特征庫越來越大，大數據、AI等技術引入特征識別，將有效提升分析的精度。但同時也應注意，在提升精度的同時，如何由點及面，擴展分析的廣度，有待業內不斷進行思路和技術方法創新。