今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》,这个议题内容是我从2017年初至今的工作缩影,可以分享的技术和内幕实在太多,每页核心PPT都是长期以来的工作结果。
但是,我的工作不是挖0day漏洞,也不是检测APT攻击,但是在我研究IoT Botnet的过程中,他们就这样出现了。
关于我
目录
背景介绍
这是我的部分安全研究成果,我也捕获和分析了很多IoT Botnet,也成长了不少。安全研究是个不断创新,不断攻防对抗的过程,我从业界前辈/攻击者那里学到很多知识,也很乐于向大家分享我的研究成果和思路。不过,我希望你也能够尊重创新,尊重原创技术和思路,哪怕是一行代码和一个idea。
我是如何研究IoT安全的?
我并没有买IoT设备,也没有直接去逆向IoT固件。我主要是从IoT样本和网络扫描数据入手。
IoT安全防御能力不足
IoT厂商并不能确保补丁能及时打上,他们也没有自动更新机制,很多老产品甚至已经不再维护更新。目前IoT产品大部分更新机制都是手动更新,像路由器/摄像头等设备用户很少会及时更新。我建议IoT厂商针对应用层的app,可以选择自动更新机制。另外像白名单技术等也可以在IoT设备中发挥作用。
IoT Botnet感染能力不断升级(现场讲了一些内幕,其实还有很多)
很多个国家的CERT都有和360Netlab联系,比如MikroTik Eavesdropping这个事件,俄罗斯CERT就主动联系了我们。
Reaper Botnet火起来的原因是被CheckPoint错误的分析报告和PR炒作起来的,然后国外安全媒体也起了推波助澜的作用。
在2018年,由美国商务部和国土安全局撰写的《A Report to the President on Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats》报告中,多次提及我们发现的Reaper Botnet。
IoT Botnet感染能力不断升级(Satori,Fbot,TheMoon使用IoT 0day漏洞传播)
IoT Botnet C2技术不断升级(不断地攻防对抗)
IoT设备已经成为APT攻击目标 (有些案例不能说,但我确实挖到IoT特马了)
目前仍然在Google上可以搜到很多新闻报道
如何去挖掘未知的IoT Exploit (花了2个星期对已知的Exploits打tag,之前只关注未知的)
Anglerfish-ELF MalwareFamilyStatics(使用了ESET NOD32的病毒名)
Botnet扫描检测算法(Botnet扫描检测算法已经在ISC 2018分享过了,屡试不爽。)
如何发现Fbot Botnet使用 DVRIP 0day漏洞 (Fuzz技术用得好,事半功倍)
Satori和Fbot都是出自同一个Botnet团伙,他们已经使用了2个0day漏洞,这已经是Botnet里的Top选手。
如何去挖掘未知的IoT Botnet
筛选未知ELF样本流程 (这个流程跑了快1年了,挖到近30个未知ELF Botnet)
样本过滤器(我没有去研究聚类算法,我也不运营病毒家族规则,我组合这些工具去实现我的需求)
Detux Sandbox Modified (写了一些分析工具,还没有去深入开发沙箱)
《如何去挖掘物联网环境中的高级恶意软件威胁》完整PPT下载链接
https://drive.google.com/open?id=1H\_NX2L3KebS9-f1oPS8IbVg9CfWuOj4U
另外我准备创建一个Botnet安全交流群,主要讨论Botnet,Honeypot等话题。
感兴趣的朋友可以先加我的个人微信号:geenul,备注个人信息,通过后我会邀请你入群。
如果你想加入360Netlab一起探索更多的未知安全,欢迎你联系我并附上简历。