連結：
https://blog.rootshell.be/2015/12/02/botconf-2015-wrap-up-day-1/
https://blog.rootshell.be/2015/12/03/botconf-2015-wrap-up-day-2/
https://blog.rootshell.be/2015/12/04/botconf-2015-wrap-up-day-3/

0x00 第一天

---

下面是一些與會議相關的 數字：

• 總預算: 80.000€
• 260 名參與者
• 3 篇keynotes
• 20 次討論
• 6 次短討論
• 大量的快速討論
• 一次社交活動

第一篇Keynote演講來自歐洲刑警Margarita Louca ：“Successful botnets takedowns: The good-cooperation part”（成功拿下殭屍網路：良好合作部分）。更準確的說，是EC3（“歐洲網路犯罪中心”）。這一演講屬於“限制級”，在這裡只能公開部分資訊。歐洲刑警組織屬於強制性執法機構（負責處理殭屍網路的基礎設施並抓捕其所有者）。在重新回到EC3後，Margarita Louca又重新審查了一些成功的取締行動。但是，就像她說的，這裡仍然存在大量的問題（技術問題、行政問題等）：由於缺少資源，法院指令並不能適用於殭屍網路的判決。Margarita舉例說明了為什麼Shylock取締活動為什麼並不成功。有一部分基礎設施很難去關停。Margarita給出的例子是.su域名。當局會面臨下面的這些挑戰：

• 參與者的信任
• 報告
• 通知大眾（媒體）
• 分享 (!)
• 縮小收益率

有時候，當地法律也會成為問題。例如，在荷蘭，IP地址就屬於個人資料。不錯的開頭！

接著，是Maarten van Dantzig 和 Jonathan Klijnsma。Ponmocup演講的“Ponmocup,the full story: A giant hiding in the shadows”（Ponmocup，陰影中的巨人），雖然Ponmocup並不是最新出現的（在之前的Botconf中就涉及過），但是仍然在活動中（從2006年開始）。

Ponmocup中有多個組織的參與，很可能是俄國人主導的。Ponmocup感染了大量的受害者，其目的也不是單一的。Ponmocup還利用了沒有記錄的Windows API呼叫。首先，Maarten & Jonathan介紹了受害者是如何被感染的。這個木馬實現了一些技巧來欺騙安全研究人員，比如特定的訪問來源、cookie、IP黑名單等。並且，他們還利用了一些技術來防止木馬被直接下載。另外，如果嘗試的太頻繁，你就會被加入到黑名單。除了反分析功能，木馬還會檢查程式、使用者名稱、驅動、顯示器解析度、近期開啟的文件、瀏覽器歷史記錄、安裝的程式等。幹得好！在安裝階段，木馬會重置系統的恢復點，並禁用系統的恢復功能。木馬還會開啟防火牆，並禁用UAC功能。每當感染一個主機，木馬就會根據卷序列號建立一個唯一的檔案。每個副本對於目標而言都是獨一無二的。Ponmocup最出色的一點：實際上這個木馬是一個包括了多個已知模組（25個）的框架：AV killers, SOCKS proxy, SIP scanners, FTP stealers, 系統資訊收集器, Facebook cookie stealer, Bitcoin錢包盜取器等 。這個木馬還能對抗汙水池技術：域名都不是在同一時間全部部署的，而是根據有效載荷的版本進行分組。政府的取締行動只能影響部分殭屍網路。演講人檢查了木馬的多個功能，這些功能之間的配合很讓人吃驚。總的來說， Ponmocup：

• 活動了7年
• 感染了1500萬+名受害者
• 有50萬仍在活動中

Fox-IT公佈了更多詳細資訊：報告與IOC

為了對抗汙水池技術，域名都不是在同一時間全部部署的，而是根據有效載荷的版本進行分組。政府的取締行動只能影響部分殭屍網路。乾的不錯！

接下來是一次短討論，演講人是Alexander Chailykto 和 Aliaksandr Trafimchuk。這次討論的標題是“DGA clustering and analysis: mastering modern, evolving threats”（DGA分類與分析：掌握現代威脅的進化旅程）。DGA（域名生成演算法）是現代木馬中很重要的一部分。率先使用這項技術的是Conficker。

DGA造成的問題：

• 無法攔截
• 木馬實際只會使用少量的域名
• 汙水池技術無法奏效

他們開發了一個叫做 DGALAB的工具。這個工具支援下面的這些DGA型別：

• 靜態DGA – 每次生成相同的域名（只是重複實現同一種演算法）
• 基於日期的DGA– 將當期日期用作輸入
• 基於種子的DGA– 將種子作為輸入（硬編碼，不容易提取）
• 後兩種的綜合型

DGALAB有哪些特徵：

• 模組化系統（支援新型的DGA）
• 生成外接的域名列表
• 將愚蠢的DGA自動整合成1組
• 有效的白名單系統
• 低資源佔用的模擬

這個工具基於Cuckoo沙盒和Cuckoomon，可以在VMware中作為管理程式執行，可以固定在虛擬環境和特定的核心中。最後，他們演示了這個工具在整合到現有解決方案（如防火牆、IDS）中是多麼的實用。

午飯後，Zoltan Balazs進行了一次短討論：“Sandbox detection for the masses: leak, abuse, test”（沙盒檢測：洩露、濫用和測試）。Zoltan首先問了觀眾幾個問題。事實上，每個人都會面臨這樣的問題。木馬會檢測我們的沙盒，所以我們需要更強大的沙盒系統。

木馬開發者可以很容易地檢測出沙盒的存在。Zoltan利用VirtualBox快速地進行了演示。常見的問題有：

• 螢幕解析度：
• 已安裝的軟體 (python, Tracer, PHP, Debugging tools, Strawberry Perl,
• 執行常用程式 (python.exe)
• CPU型別 … 誰執行了 Intel Pentium Pro ? 以及核心數量
• 計算機系統 (Bochs, VirtualBox, KVM, Optiklex 990, P5QSE等
• 滑鼠移動
• 記憶體大小，1GB記憶體配置的桌面電腦？
• 機器名稱

另外，使用者的電腦桌面經常會是一團糟，可以監控CPU使用，網路連線。教訓是：有很多繞過動態分析的方法。給沙盒開發者的建議：再努力些。這是一次短討論，但是值的關注，Zoltan提到了很多有意思的資訊。我喜歡！

然後，來自CERT.p的Lukasz Siewierski釋出了一篇叫做 “Polish threat landscape”（“波蘭威脅規模”）的演講。Lukasz 講了一家波蘭公司遭到社會工程襲擊的故事。其他國家的一些公司也在面臨相同的問題。

其攻擊方案非常經典：發一封郵件，有人回信，再用假冒的NDA發第二封。一旦入侵了這家企業，攻擊者就會竊取客戶名單，併發給他們虛假的發票。Lukasz在分析完技術後，又說明了一個更嚴重的情況。Lukasz解釋了這家公司是怎麼反應的，他們起訴了一名記者，假裝自己沒有遭到攻擊，客戶資訊也沒有洩露。有趣的故事！

Gavin O'Gorman討論了“Butterfly attackers”（蝴蝶攻擊者）。Symantec命名這個間諜小組叫做Butterfly，3年以來，他們入侵了一些大公司。同樣沒有記錄，沒有資訊披露。

接著，來自思科的Veronica Valeros演講了“Make it count: An analysis of a brute-force botnet”（分析爆破殭屍網路）。她研究說：我們通常首先會分析木馬一開始的幾分鐘。那麼一週、一個月會怎麼樣呢？

她發現了一個看似普通的樣本，但是在幾天後，這個樣本開始有其他的行為…下載了一個新的有效載荷並開始執行爆破攻擊。這個樣本的攻擊目標是WordPress網站。我們並不意外這樣的網站數量龐大。下面是一些關於這次攻擊數字：

• 1 個bot
• 訪問了7000網站
• 1次成功入侵
• 用了大約3個半小時
• 每天入侵6個網站

和前面的討論一樣，這次討論也很有趣。

Frank Denis 展示了他的研究： “The missing piece in threat intelligence”(網路情報中缺失的一環)，Frank正在 OVH 任職，能接觸到一些惡意活動的源頭。

ISP必須應對各種問題。比如，託管服務濫用、入侵等，這類問題很難管理。IP地址就是一個很好的例子。IP地址可以分配給不同的使用者，而新的使用者會繼承這個IP的名譽。 這樣就可能對他的業務造成影響。另外，有些廠商的行為很不好，僅僅是重複使用線上服務提供的資料。比如，有些廠商會攔截IP地址，僅僅是因為這些IP的: 評分>0！ Frank解釋了ISP是如何應對並追蹤這些問題。然後，他提出了一種結構化語言來描述ISP所採取的行動。比如，IP地址可以被標記位：

• Reserved
• Unassigned
• Suspended
• Clean
• Notified
• Deleted
• Resumed
• …

當然，接下來的挑戰是如何讓其他同仁也使用相同的語言。為此，Frank開發了一個叫做ERIS的工具能幫助使用DIP協議。這樣做有很多好處：

• 執法部門能夠立刻獲取到有價值的資訊
• 研究人員和SIEM管理員能提供快速反饋
• 節約服務提供商和事件處理人員的時間
• 擴大使用者的視野

這種想法不錯。現在的目標是讓其他人知道這個工具和協議的存在。

Marc Dioudet 談論了 “Honey!? Where is my POS?”（親，我的POS在那裡？）他的研究目標是想要更好的理解POS木馬使用的技術和過程。

在簡單地檢視了一個標準POS系統後，Marc解釋了他部署用來建立POS蜜罐的解決方案。在僅僅三小時後，他就抓到了一個Morto木馬感染。他還說明了為什麼這個蜜罐很難吸引攻擊者。一開始，他把伺服器放在了廣泛使用chip & pin的德國。在他把伺服器轉移到美國後，他捉到了更多木馬。

最後，John Bambenek 再次討論了殭屍網路的取締，題目叫做 “Takedowns; case studies ad what we all could be doing better”（取締，案例研究，我們怎樣才能做的更好）。與Margarita一樣，他解釋了為什麼組織一次殭屍網路取締會這麼困難。

John提到我們如今面臨的問題有：我們在競賽中已經落後了，我們註定要失敗。不過好訊息是，我們會有很多活幹。什麼是取締？需要根據：

• 特殊的安全活動
• 控制域名
• 讓託管服務公司收拾爛攤子
• 營銷活動？

事實上：為什麼我們需要幹掉殭屍網路？John解釋道，這是因為大多數人無法購買廠商部署的昂貴的產品。一次取締活動就是一次瓦解活動，因為需要實現新的防火牆規則、黑名單、DGA列表等。這些措施都是有效的嗎？不總是，而且更糟的是，這些措施有副作用。通常，攻擊者在幾個小時內就可以恢復行動。並且這樣經常會造成附帶傷害。John以Conficker感染醫用裝置為例，這些裝置管理的心臟起搏器會怎樣呢？John調查了一些比較不錯的殭屍網路取締案例：

• No-IP ( Microsoft)
• Conficker
• Kelihos (這次活動經過了4次取締，仍在活動中)

0x01 第二天

---

第一篇來自Daniel Plohmann關於DGA的討論：“DGArchive – A deep dive into domain generating malware”（深入研究域名生成木馬）。像往常一樣，開篇就是對DGA的審查，基本上沒什麼新內容（昨天已經都說過了）。去年，Daniel只是稍微介紹了他的專案，今天他展示了自己的研究成果。

DGA的小歷史：

• 第一個DGA出現在20006年（Sality動態生成了一個3級域名）
• 在2007年7月，發現了Torpid和Kraken
• 在2008-2009年，Szribi和Conficker

DGA是現代木馬的一個重要特徵。為什麼DGA會得到廣泛地使用？

• 增加分析難度
• 繞過黑名單攔截
• 後備方案
• 不對稱性（攻擊者只會用其中一個域名，而防禦者需要攔截所有的域名）
• 可行性（域名很便宜）

更重要的是，DGA讓安全研究人員很頭疼。這種研究原理是逆向DGA，生成所有的域名，並建立一個資料庫來執行查詢和統計。其目標是查詢一個域名，然後資料庫返回相關的木馬。直到今天，Daniel發現了：

• 43個系列
• 280 個種子
• 2000萬+個域名

大量的DGA使用了長域名（相反的，商業域名都是儘可能地短）。很重要的一點是，種子會影響域名的生成。Daniel採取的過程是：

1. 過濾
2. 評分
3. 匹配（自動檢測新的種子）

接著，Daniel用大量的材料解釋了每個木馬家族是如何生成域名的。然後，接下來的問題是：域名註冊？根據Whois資料庫，他發現了這些域名、汙水池、解決方案、預註冊和域名停靠的特徵。關於DGA的問題是：它們可靠嗎？如果演算法之間發生衝突該怎麼辦，會不會對有效域名的生成造成風險？在這種情況下，會對有效域名的所有者造成災難性的影響。是的，這種演算法衝突是可能的。但是還不足以幫助我們根據生成的域名來對木馬進行分類。

下一篇演講的重點是Andromeda殭屍網路。Jose Miguel Esparza討論了“Travelling to the far side of Andromeda”（前往 Andromeda的另一端） 。這次討論的不是要逆向殭屍網路（因為已經有大量可用的資訊），而是討論殭屍網路背後的人。

關於 Andromeda的幾點資訊：

• 開始於2011
• 模組化並且功能全面
• 定期聯絡 C&C regularly 獲取“任務”（新木馬、外掛等）
• 透過傳統方式傳播
• 最近版本是 2.10

Andromeda更新了反分析等新功能，以及一個黑名單程式（甚至python.exe和perl.exe）。在最新發布的版本中，引數是以JSON的形式傳送的。另外注意，重建二進位制時的通訊是透過XMPP而不是透過IRC實現的（標準通訊仍然是透過HTTP實現的）。木馬開發者還經常會留下一些資訊，比如包含有“fuckyoufeds”的虛假資訊。一個很有趣的特點：Andromeda不會感染位於某些地區的計算機，比如俄羅斯（根據鍵盤佈局確定位置）。Andromeda會根據服務來收費，下面是目前的一些報價：

• 一個bot v2.x: $500
• 重建 bot: $10
• SOCKS5 模組：免費
• Formgrabber 模組: $500
• 鍵盤記錄模組: $200
• TeamViewer模組: $500

並且這個殭屍網路仍然在活動中，下面是一些統計：

• 10750 個樣本
• 130 個殭屍網路
• 474 個編譯器ID
• 4.2萬個C&C URLs

結論：這個專案仍然在活動，相關的業務也在進行。好幾個犯罪團伙都在使用Andromeda，並且Andromeda具有一些很有趣的自定義外掛。不錯的綜述！

在早上喝過咖啡後，Nikita Buchka 和 Mikhail Kuzmin討論了“Whose phone is in your pocket?”（你的口袋裡是誰的手機？）。安卓是不錯的木馬攻擊目標。在2015年第三季度，150萬多個惡意程式被檢測到。現在的攻擊趨勢就是利用超級使用者許可權。

大多數惡意程式都是廣告軟體，一般是透過植入了木馬的廣告來進行感染。他們解釋了安卓上的多廣告模式是如何運作的。並且最重要的是，攻擊者是如何濫用這些模式。即使攻擊者濫用了某個活動來傳播木馬，那些品牌也會很高興，因為他們的品牌也算是從中受益了。大多數廣告軟體會嘗試root裝置來獲取許可權。怎樣獲取許可權呢？安卓的安全模式是基於：

• 沙盒
• 許可權
• 一個RO系統分割槽

但是，這裡有問題：

• Binder IPC機制 -> 資料可以被劫持
• 存在root使用者 … 可以破解安全模式

“zygote” 是一個守護程式，其目的是啟動安卓程式。為了安卓木馬，需要下面的過程：

• 獲取root許可權（在舊版本上很容易）
• 在RW模式下重刷系統分割槽
• 安裝惡意apk
• 在RO模式中重刷

當廣告軟體還不足夠時，可以安裝其他惡意程式碼。一個很好的例子是Triada：Triada自帶有SMS木馬、銀行木馬、更新模組，與CC通訊。他們解釋了木馬是怎樣感染的裝置。應對方案是什麼？

• 木馬無法解除安裝（RO分割槽）
• 一種解決辦法是“root”你的裝置（不建議）
• 刷入一箇舊版韌體（如果不懂技術，刷機並不容易並且會丟失資料）
• 處理好了？

下一個議題還是DGA：“Building a better botnet DGA mousetrap: separating mice, rats and cheese in DNS data”（建立一個更好的殭屍網路DGA捕鼠器：區別DNS資料中的小老鼠、大老鼠和乳酪）(Josiah Hagen)。

第四次討論了DGA...我想現在我們都知道了駭客會利用這項技術來混淆bot與CC之間的通訊。在這次的討論中，還涉及到了機器學習。下午，我們還開玩笑說把“Botconf”改成“DGAconf”算了。

Apostolos Malatras 很風趣的討論了移動殭屍網路，更確切的說，是如何在實驗室中研究這些殭屍網路。(“Building an hybrid experimental platform for mobile botnet research” 建立一個綜合性的實驗平臺來研究移動版殭屍網路)。如果前面的討論都集中在木馬是怎樣攻擊安卓裝置，那麼這次討論就是安裝在這些受感染裝置上的殭屍網路是如何運作的。事實上，這與常規殭屍網路的運作方式沒有差別：受感染的裝置會等待殭屍主控傳送的命令。

你要記住，一臺移動裝置就是一臺計算機，但是移動裝置中還包含有大量的機主資訊（利益豐厚）。並且這些移動裝置還會連線其他的計算機，接入企業網路。這些移動裝置上有大量的感測器，並且越來越多的用作移動錢包。下面是移動裝置使用的一些技術：

• 它們使用了動態IP地址
• 行動網路有諸多限制
• OS版本眾多（是不是很糟？）
• 螢幕大小就是一個漏洞（使用者有沒有可能會點錯連結？）
• 感測器可以用作副通道

殭屍網路的架構也有很多：整合型，分層型、混合型和P2P型。所有這些架構都需要在實驗中囊括到。殭屍網路也要滿足一些要求：必須原生支援大量的實驗，必須可量化，可擴充套件並且要有足夠的可用性。Apostolos檢查了某種架構的各個元件（Java技術、Android模擬器，Android除錯橋、XML配置檔案、用於建立事件的感測器模擬器）。這樣做的目的是為了測試移動版殭屍網路，並觀察其操作。殭屍網路還會根據不同的方案執行不同的事件。下一個問題是：“移動木馬的開發者需要用多久才能測試繞過Android模擬器呢？”實際上，很簡單（僅僅利用IMEI就可以）。詳細的內容請參閱這篇文章。在Apostolos之後，Laurent Beslay又介紹了“Mobile botnet malware collection”（移動版殭屍網路木馬收集），基本上是EU在介紹自己的服務。他們正在招人，並已經啟動了專案來交換移動殭屍木馬方面的資訊

午飯後，Paul Jung 上臺講了“Box botnets”。好訊息：他沒有講到IDA。故事開始於日誌檔案中出現的一個奇怪的HTTP請求。

攻擊者會將惡意指令碼隱藏在像GIF這樣的檔案中，從而嘗試持續感染目標網站。惡意程式碼經常會利用字串str_rot13(),gzuncompress()來進行混淆。使用線上工具ddecode.com/phpdecoder就可以解碼。Paul提醒說：大多數提供線上服務的網站，比如這個網站，會保留使用者上傳的資料。注意你的敏感資料。那麼怎樣才能感染一個主機呢？這個方案需要：

• 一個啟用了PHP的UNIX web伺服器
• 一個弱 CMS
• 直接訪問網際網路（用作備用連線）

根據這一描述，常見的攻擊目標有VPS。然後採用一些小技巧，比如更改更改程式名稱，從而攔截所有的訊號，避免程式被殺掉。另外，木馬還會透過一個“竊取”函式透過郵件或特定的HTTP請求來洩露伺服器資訊。一旦感染，加入到殭屍網路的伺服器就可以：

• 執行(很難處理在自己的使用者下的web伺服器)
• 執行維護任務（更改通道，重新命名bot）
• 傳送垃圾郵件
• 大量的UDP/TCP/HTTP
• 查詢其他要入侵的伺服器

透過使用多個搜尋引擎（Paul發現了37個），他們可以查詢新的潛在受害者。接下來主要討論了是誰在幕後操控這些bot。這個小組叫做 Toolsb0x。雖然這種入侵方法不是最新的，但是仍然很有效。

然後，我們又討論了大量的彙編程式碼： Matthieu Kaczmarek提出了“Malware instrumentation: application to Regin analysis”（木馬插樁：應用到Regin分析）。如今的現代木馬都很複雜。為什麼選Regin？因為這是一個殭屍網路。其網路拓撲就是一個殭屍網路。

要知道，木馬通訊可以透過UDP、TCP、cookie、檔案、USB磁碟實現。你還需要一個開啟世界的視窗。在網路中的每個節點上都有一個私鑰以及一個可信公鑰列表，每個節點還都有一個虛擬的IP地址。這種設計是以服務為導向的架構，包括有下面的模組：

• 一個協調器
• 核心模組（負責加密、壓縮、VFS、網路等）
• 其他模組（刺探、代理等）

在解釋了Regin使用的技術後，Matthieu演示了兩個Regin模組之間的通訊。在演示中，這兩個節點交換了一條“hello”資訊。看起來很簡單，但是要想逆向所有的東西可需要大量的時間。乾的很出色！

在喝完咖啡後，Mark Graham討論了“Practical experiences of building an IPFIX based open source botnet detector”（實踐根據開源botnet檢測器來建立一個IPFIX）。Mark的問題是什麼：如何有效地在雲供應商那裡檢測殭屍網路？Mark說，在雲上可是尋找殭屍網路活動的好地方。他首先簡單的介紹了IPFIX （說實話我真不知道這是什麼）。

人人都知道Netflow (Cisco在2009年建立)，但是基本沒人知道IPFIX是什麼（大部分Botconf的觀眾都不知道）。Netflow存在哪些問題？

• 主機逃逸
• VM內部攻擊
• VM逃逸

IPFIX是在2013年發明出了的。IPFIX的一大優勢在於需要儲存。Mark進行了一次測試，並轉出了一個3.1GB的PCAP檔案，但是隻有43KB的IPFIX檔案。PCAP就像是手機通話，而IPFIX就是通話賬單（和誰通話，什麼時間，通話了多久）。更準確的說，IPFIX開發出來就是為了解決下面的問題：

• 不受廠商影響
• 可擴充套件
• 多種協議（不僅僅是UDP）
• 更安全
• 為下一代做準備(IPv6, 群播，MPLS)

第二部分講的是基於Xen & OVS (Open vSwitch)的感測器開發。Mark解釋說，他遇到的問題是必須元件的不同版本問題。一旦建立和配置好了，接下來的問題就是找到合適的位置來連線探測器。網路視野是一個關鍵點。只要在合適的位置連線上合適數量的探測器，我們就能找到有用的資訊，但是系統還是有限制：

• 深度包檢測（捨棄有效載荷）
• 加密 / VPN 流量 : 有效載荷不是問題，但是VPN隧道中的PDU標頭有影響

Mark提出的解決辦法是建立一個擴充套件模板，使用DNS和HTTP引數（比如透過引用頁的cookie、age）。不錯，也讓我瞭解了IPFIX。

下一篇演講，Tal Darsan介紹了巴西的威脅情況(“The dirty half-dozen of the Brazilian threat landscape”巴西威脅概況)。今天的巴西在經歷什麼？他們使用Delphi，VB指令碼和C#。他們使用了封裝器：CPL 和 VBE 趨勢。Themida 封裝器。他們有獨特的詐騙地下社群，全面的攻擊途徑，把惡意程式捆綁到合法工具上。你可以購買到教程，學習詐騙。那麼哪些攻擊最流行呢？

• 利用圖片發動釣魚攻擊。Tal 介紹了Boleto攻擊活動。
• 虛假的瀏覽器：用於竊取網銀憑證(透過小型下載器(banload)放置dropper)
• 重疊攻擊（類似於虛假瀏覽器-建立重複的瀏覽器內容-不替換瀏覽器）
• 遠端重疊：結合VNC的MITM攻擊

很好的調查了巴西威脅！下面的這個網站上可以購買服務來學習“駭客攻擊”：http://www.hackerxadrez.com.br/

Ya Liu 是今天最後一位演講者：“Automatically classifying unknown bots by the register messages”（根據註冊人資訊自動分類未知bot）。這一研究的思路是根據計算機在感染後，與CC交換的資訊來判斷殭屍網路。

如今，每天都會出現大量的木馬變種，必須要有新技術才能區分它們。大多數木馬都可以劃分到已知的木馬系列，比如zbot或darkshell。它們都有一個共同點：需要與CC通訊。Ya的思路是分析這些木馬是如何註冊到CC上的（在成功感染後執行的第一個操作）。在註冊資訊中包含有主機名、IP、CPU、OS、版本等資訊。Ya研究了這些資訊是如何編碼的，以及如何傳送到CC上。有趣的研究！

0x02 第三天

---

這裡是第三天的會議總結。第一篇討論來自Yonathan Klijnsma，他介紹了Cryptowall的歷史概況。Cryptonwall分為多個版本，並經過了幾代的發展。這個勒索軟體最早出現在2013年9月，具有獨立的ID，利用HTTP進行CC通訊。

Yonathan研究了這個勒索軟體的通訊協議。Cryptonwall使用了代理和Tor來連線其CC伺服器。有可能他就是根據Cryptonwall的通訊才識別出了這個木馬。Cryptonwall還給受害者提供了多種支付贖金的選項。第一版的Cryptonwall支援143種檔案型別，而Cryptonwall 3.0已經支援了312種。在調查各個版本的過程中，Yonathan也弄明白了各個版本之間的不同，比如加密方法的變化，使用的協議版本（有些版本使用I2P而不是Tor，但是I2P並不是很可靠）。Jonathan評價說：當你在披露木馬資訊時，一定要小心。因為木馬開發者會加入各種論壇、社交網路來監控我們。不要使用TLP:WHITE來交流這樣的資訊。下面是一些有趣的發現：

• 木馬使用了很漂亮的標誌和圖示（洩露自simiographics.com）
• 木馬的程式碼中有很搞笑的資訊
• 木馬一直在使用新技術

如果你對這個木馬很感興趣，Yonathan釋出了一些好玩的工具 。

然後，Renaud Bidou 登臺探討了Javascript(“Powered by Javascript”)。有沒有人在botnet中發現過Javascript？為了各種不同的目的！

• 注入
• C&C
• 持續性和靈活性
• 傳播，避免檢測
• 便於操作

Renaud演示了“你只需要JS就能實現這些任務。”當然，JS注入是基於XSS漏洞實現的。他說“XSS就可以看做是緩衝區溢位。”

在說完XSS之後，他又依次說明了如何用Javascript來實現上述的各種惡意目的。為了保證持續性，必須要透過load.js入侵瀏覽器（Javascript程式碼會重新載入自己並從外部URL中載入程式碼）。他還演示瞭如何使用包含有程式碼的PNG影像。為了實現CC通訊，必須使用twitter來獲取命令。今天，誰會攔截Twitter呢？Javascript還非常便於操作：

• 我們可以在一個iframe中實現keylogger
• 從瀏覽器中建立截圖
• WebRTC
• 洩露瀏覽器資訊，本地IP地址
• 獲取剪貼簿資料

你還可以研究研究Sniffly，很有趣的一次攻擊活動。Renaud總結說，完全由Javascript組成的木馬是可能的。

下一名演講者Jeremy du Bruyn，討論了DarkComet (“Inside DarkComet: a wild case-study” 深入DaekComet：一個瘋狂的案例研究)。他首先展示了一些研究資料：8萬3千個DarkComet樣本，4萬個配置檔案，2萬5千個CC，751次滲透。他非常瞭解這個木馬。

DarkComet是一個看似合法的RAT。這個木馬的功能就像是一個全鍵盤，能夠控制遠端主機、執行命令、記錄鍵盤輸入等。DarkComet有兩個元件：CC和bot本身。Jeremy演示了和講解了一個配置樣本（已經解密）。DarkComet使用了靜態秘鑰，版本不同使用的秘鑰也不同。然後，Jerem講解了木馬在感染受害者時，從CC上獲取的初始配置。每隔20s，就傳送一條活動資訊。這種設計非常高效：儘可能的隱藏木馬，可以擴充套件木馬的功能，具備反除錯功能，支援使用協議，可以收集樣本，符合botnet規則（botmaster能夠正常識別）。在介紹完這個木馬後，他又開始討論對於樣本的分析（4萬個）。大部分樣本使用了動態DNS（約40%）來聯絡CC。有趣的是，已經發現的最大bot（8000名受害者）位於法國！這個bot的CC隱藏在了一名居民的ADSL連線上。他解釋了自己是如何藉助QUICKUP漏洞的幫助，破壞了其中的某些CC。

然後，討論了ANSSI。這在Botconf上可不常見，題目是“Air-gap limitations and bypass techniques: command and control using smart electromagnetic interferences”（隔離限制與繞過技術：使用智慧電磁干擾進行命令與控制，Chaouki Kasmi, José Lopes Estves）

首先，隔離是什麼意思？不同的IT系統可能設定了不同的安全級別和信任級別（網際網路，內網和關鍵服務）。隔離指的是移除系統中的所有通訊通道，形成物理孤立。隔離也有缺點：

• 成本高
• 工作流程，組織限制

但是“哪裡有河，哪裡就有橋”，怎麼繞過隔離呢？

• 使用禁用的介面（軟體禁用還不夠，必須物理移除）
• 使用共享的外圍裝置（微控制器，USB裝置，顯示裝置）
• 使用機械波…聲音/震動Google Tone,超聲波，跨裝置追蹤
• 使用光 (Shamir, BHUSA keynote 2014)
• 使用溫度 (BitWhisper) – ex: 使用CPU活動

或者使用RF！他們演示瞭如何使用“Intentional Electromagnetic Interference”來修改一臺正常執行的計算機。他們的實驗是基於法拉第籠中的一臺裝置。給計算機造成了多個影響：PS/2連線錯誤，USB連線錯誤，乙太網連線錯誤，導致裝置重啟。他們是怎麼來處理這些問題的呢？

• 移除沒有使用的模擬或數字介面
• 監控剩餘的介面
• 隔離關鍵系統（用co-lo還是不用？專門的空間？法拉第籠？）
• 教育使用者

下一篇討論是來Google的Elie Bursztein 和 Jean-Michel Picod提出的 “Inside traffic exchange networks”（深入流量交換網路）。在這份報告中沒有提到太多關於“流量交換”的內容，而是討論了交換web流量（SEO）的一種方法。Google很關心這個話題，因為其中存在很多問題…演講者要求我們不要洩露討論內容，所以我們沒法提供更詳細的資訊。但是，你可以在這裡找到一篇有趣的文章。

午飯後，Peter Kleissner討論了“Sality”。Sality在2003年出現在俄羅斯，並感染了很多檔案。這個botnet有很多目的，利用了一個P2P演算法來竊取資訊，傳送DDoS攻擊或傳送垃圾郵件。

這個botnet感染了200萬+主機，全球範圍內總共感染了400萬臺，雖然沒有走向前臺，但是這個botnet仍然活躍在今天。根據樣本中的暱稱和郵箱地址，我們應該能猜出Sality的作者是誰？什麼受害者會被感染呢？原因為簡單，沒有給系統打補丁，並且沒有使用AV產品。這個botnet發動DDoS攻擊了Virustracker：攻擊了4次，從1Gbps到120Gbps。Peter解釋了botnet是如何利用了P2P演算法，以及其他一些特徵。

下一篇是Olivier Bilodeau 提出的“A moose once bit my honeypot”（一隻曾被我的蜜罐咬過的麋鹿）。這裡的麋鹿指的是Moose。一個內嵌的Linux botnet。

所有的IoT裝置（智慧電視 、IP攝像頭、冰箱、路由器等）都有相似的特徵：

• 記憶體/儲存小
• 不是x86架構
• libc實現各種各樣
• 支援ELF二進位制
• 通常只有主控臺

為什麼Moose這樣的botnet會是威脅呢？因為，難以檢測，難以應對和修復。對於壞人來說，這樣的裝置就是壞人眼中的蘋果。Oliver研究了木馬的運作方式，以及開發者實現的一些功能。更詳細的資訊在這。

最後一篇來自Thomas Barabosch“Behaviour-driven development in malware analysis”（分析木馬中的行為驅動開發）。這份報告研究瞭如何逆向惡意程式碼？Thomas的動力是什麼？木馬分析很無聊！這是一項日常任務，需要重複，投入大量的時間。這些程式碼僅僅是從asm翻譯成更高階的語言，但是怎麼保證可靠性呢？解決辦法：改善這一過程！

他提出了兩種方法：TDD-測試驅動型開發和BDD-行為驅動型開發。簡單地說：這樣做的目的是使用開發技術和過程，並將其應用到逆向工程中，從而改善逆向過程。但是，有趣的是，和眾多學術研究者一樣，他們說的並不容易立刻實現。

這就是最後一天了。會議在董事會的總結下閉幕。下面是一些統計數字：

• 250 個坐席
• 265 名參與人
• 15桶啤酒
• 億萬升香檳
• 與組織者+1萬行聊天

下一次會議會在Lyon 20/11-02/12舉辦。