如何去挖掘物联网环境中的高级恶意软件威胁

如何去挖掘物联网环境中的高级恶意软件威胁
2019-8-25 14:32:22 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》，这个议题内容是我从2017年初至今的工作缩影，可以分享的技术和内幕实在太多，每页核心PPT都是长期以来的工作结果。

但是，我的工作不是挖0day漏洞，也不是检测APT攻击，但是在我研究IoT Botnet的过程中，他们就这样出现了。

关于我

背景介绍

这是我的部分安全研究成果，我也捕获和分析了很多IoT Botnet，也成长了不少。安全研究是个不断创新，不断攻防对抗的过程，我从业界前辈/攻击者那里学到很多知识，也很乐于向大家分享我的研究成果和思路。不过，我希望你也能够尊重创新，尊重原创技术和思路，哪怕是一行代码和一个idea。

我是如何研究IoT安全的？

我并没有买IoT设备，也没有直接去逆向IoT固件。我主要是从IoT样本和网络扫描数据入手。

IoT安全防御能力不足

IoT厂商并不能确保补丁能及时打上，他们也没有自动更新机制，很多老产品甚至已经不再维护更新。目前IoT产品大部分更新机制都是手动更新，像路由器/摄像头等设备用户很少会及时更新。我建议IoT厂商针对应用层的app，可以选择自动更新机制。另外像白名单技术等也可以在IoT设备中发挥作用。

IoT Botnet感染能力不断升级（现场讲了一些内幕，其实还有很多）

很多个国家的CERT都有和360Netlab联系，比如MikroTik Eavesdropping这个事件，俄罗斯CERT就主动联系了我们。

Reaper Botnet火起来的原因是被CheckPoint错误的分析报告和PR炒作起来的，然后国外安全媒体也起了推波助澜的作用。

在2018年，由美国商务部和国土安全局撰写的《A Report to the President on Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats》报告中，多次提及我们发现的Reaper Botnet。

https://csrc.nist.gov/CSRC/media/Publications/white-paper/2018/05/30/enhancing-resilience-against-botnets--report-to-the-president/final/documents/eo_13800_botnet_report_-_finalv2.pdf

IoT Botnet感染能力不断升级（Satori，Fbot，TheMoon使用IoT 0day漏洞传播）

IoT Botnet C2技术不断升级（不断地攻防对抗）

IoT设备已经成为APT攻击目标（有些案例不能说，但我确实挖到IoT特马了）

https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/

2018年9月6号，www.google.com搜索mikrotik记录显示我对MikroTik的研究报告（英文版）排名第3，MikroTik官方推特排名第4。这篇文章仍然是我写的研究报告中影响面最广的一篇文章，被各大安全媒体转发。

目前仍然在Google上可以搜到很多新闻报道

如何去挖掘未知的IoT Exploit （花了2个星期对已知的Exploits打tag，之前只关注未知的）

Anglerfish-ELF MalwareFamilyStatics（使用了ESET NOD32的病毒名）

Botnet扫描检测算法（Botnet扫描检测算法已经在ISC 2018分享过了，屡试不爽。）

如何发现Fbot Botnet使用 DVRIP 0day漏洞（Fuzz技术用得好，事半功倍）

Satori和Fbot都是出自同一个Botnet团伙，他们已经使用了2个0day漏洞，这已经是Botnet里的Top选手。

如何去挖掘未知的IoT Botnet

筛选未知ELF样本流程（这个流程跑了快1年了，挖到近30个未知ELF Botnet）

样本过滤器（我没有去研究聚类算法，我也不运营病毒家族规则，我组合这些工具去实现我的需求）

Detux Sandbox Modified （写了一些分析工具，还没有去深入开发沙箱）

《如何去挖掘物联网环境中的高级恶意软件威胁》完整PPT下载链接

https://drive.google.com/open?id=1H_NX2L3KebS9-f1oPS8IbVg9CfWuOj4U

另外我准备创建一个Botnet安全交流群，主要讨论Botnet，Honeypot等话题。

感兴趣的朋友可以先加我的个人微信号：geenul，备注个人信息，通过后我会邀请你入群。

如果你想加入360Netlab一起探索更多的未知安全，欢迎你联系我并附上简历。

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5ODQ5MzkyMw==&mid=2247483735&idx=1&sn=2b4e55d5247d75d646ce8dd55ae3ee5f&chksm=a6c8aadb91bf23cd182cde5185bd785aa4ea4b3978fad23ad7d85aad6cbd35611a1924c7d9e0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh