长亭百川云 - 文章详情

如何去挖掘物联网环境中的高级恶意软件威胁

EnjoyHacking

72

2024-07-13

今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》,这个议题内容是我从2017年初至今的工作缩影,可以分享的技术和内幕实在太多,每页核心PPT都是长期以来的工作结果。

但是,我的工作不是挖0day漏洞,也不是检测APT攻击,但是在我研究IoT Botnet的过程中,他们就这样出现了。

关于我

目录

背景介绍

这是我的部分安全研究成果,我也捕获和分析了很多IoT Botnet,也成长了不少。安全研究是个不断创新,不断攻防对抗的过程,我从业界前辈/攻击者那里学到很多知识,也很乐于向大家分享我的研究成果和思路。不过,我希望你也能够尊重创新,尊重原创技术和思路,哪怕是一行代码和一个idea。

我是如何研究IoT安全的?

我并没有买IoT设备,也没有直接去逆向IoT固件。我主要是从IoT样本和网络扫描数据入手。

IoT安全防御能力不足

IoT厂商并不能确保补丁能及时打上,他们也没有自动更新机制,很多老产品甚至已经不再维护更新。目前IoT产品大部分更新机制都是手动更新,像路由器/摄像头等设备用户很少会及时更新。我建议IoT厂商针对应用层的app,可以选择自动更新机制。另外像白名单技术等也可以在IoT设备中发挥作用。

IoT Botnet感染能力不断升级(现场讲了一些内幕,其实还有很多)

很多个国家的CERT都有和360Netlab联系,比如MikroTik Eavesdropping这个事件,俄罗斯CERT就主动联系了我们。

Reaper Botnet火起来的原因是被CheckPoint错误的分析报告和PR炒作起来的,然后国外安全媒体也起了推波助澜的作用。

在2018年,由美国商务部和国土安全局撰写的《A Report to the President on Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats》报告中,多次提及我们发现的Reaper Botnet。

https://csrc.nist.gov/CSRC/media/Publications/white-paper/2018/05/30/enhancing-resilience-against-botnets--report-to-the-president/final/documents/eo\_13800\_botnet\_report\_-\_finalv2.pdf

IoT Botnet感染能力不断升级(Satori,Fbot,TheMoon使用IoT 0day漏洞传播)

IoT Botnet C2技术不断升级(不断地攻防对抗)

IoT设备已经成为APT攻击目标 (有些案例不能说,但我确实挖到IoT特马了)

https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/

2018年9月6号,www.google.com搜索mikrotik记录显示我对MikroTik的研究报告(英文版)排名第3,MikroTik官方推特排名第4。这篇文章仍然是我写的研究报告中影响面最广的一篇文章,被各大安全媒体转发。

目前仍然在Google上可以搜到很多新闻报道

如何去挖掘未知的IoT Exploit (花了2个星期对已知的Exploits打tag,之前只关注未知的)

Anglerfish-ELF MalwareFamilyStatics(使用了ESET NOD32的病毒名)

Botnet扫描检测算法(Botnet扫描检测算法已经在ISC 2018分享过了,屡试不爽。)

如何发现Fbot Botnet使用 DVRIP 0day漏洞 (Fuzz技术用得好,事半功倍)

Satori和Fbot都是出自同一个Botnet团伙,他们已经使用了2个0day漏洞,这已经是Botnet里的Top选手。

如何去挖掘未知的IoT Botnet

筛选未知ELF样本流程 (这个流程跑了快1年了,挖到近30个未知ELF Botnet)

样本过滤器(我没有去研究聚类算法,我也不运营病毒家族规则,我组合这些工具去实现我的需求)

Detux Sandbox Modified (写了一些分析工具,还没有去深入开发沙箱)

《如何去挖掘物联网环境中的高级恶意软件威胁》完整PPT下载链接

https://drive.google.com/open?id=1H\_NX2L3KebS9-f1oPS8IbVg9CfWuOj4U

另外我准备创建一个Botnet安全交流群,主要讨论Botnet,Honeypot等话题。

感兴趣的朋友可以先加我的个人微信号:geenul,备注个人信息,通过后我会邀请你入群。

如果你想加入360Netlab一起探索更多的未知安全,欢迎你联系我并附上简历。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2