Identificação Automática de Servidores C&C e Identificação de Variantes de Malwares Bashlite e Mirai

Gabriel Bastos; Artur Marzano; Osvaldo Fonseca; Ítalo Cunha; Elverton Fazzion; Marcelo H. P. C. Chaves; Cristine Hoepers; Klaus Steding-Jessen; Dorgival Guedes; Wagner Meira Jr.

doi:10.5753/sbrc.2019.7398

Gabriel Bastos Universidade Federal de Minas Gerais
Artur Marzano Universidade Federal de Minas Gerais
Osvaldo Fonseca Universidade Federal de Minas Gerais
Ítalo Cunha Universidade Federal de Minas Gerais
Elverton Fazzion Universidade Federal de São João del-Rei / Universidade Federal de Minas Gerais
Marcelo H. P. C. Chaves Núcleo de Informação e Coordenação do Ponto br - NIC.br
Cristine Hoepers Núcleo de Informação e Coordenação do Ponto br - NIC.br
Klaus Steding-Jessen Núcleo de Informação e Coordenação do Ponto br - NIC.br
Dorgival Guedes Universidade Federal de Minas Gerais
Wagner Meira Jr. Universidade Federal de Minas Gerais

DOI: https://doi.org/10.5753/sbrc.2019.7398

Resumo

A Internet das Coisas é composta de inúmeros dispositivos distribuídos ao redor do mundo. O baixo padrão de segurança por parte desses dispositivos tem sido explorado por agentes maliciosos para construir botnets. O impacto dessas botnets pode ser reduzido ao facilitar que analistas de segurança bloqueiem o acesso aos servidores de Comando e Controle. Neste artigo, integramos e estendemos ferramentas existentes em um arcabouço para a identificação de servidores C&C e classificação de malwares em grupos similares. Utilizamos análise estática e dinâmica em combinação com heurísticas para identificar servidores C&C, e algoritmos de agrupamento para classificar binários. Em nossos resultados, as análises e heurísticas propostas melhoram a identificação de C&Cs, mitigando contramedidas implementadas por desenvolvedores de malware, enquanto o algoritmo de agrupamento consegue classificar os binários em grupos significativos, direcionando os esforços de analistas de segurança.

Palavras-chave: Internet das Coisas, Segurança, Malware

Referências

Angrishi, K. (2017). Turning Internet of Things(IoT) into Internet of Vulnerabilities (IoV): IoT Botnets. CoRR, abs/1702.03681.

Antonakakis, M. et al. (2017). Understanding the Mirai Botnet. In Proc. of USENIX SS. CAIDA (2018). CAIDA AS Rank.

David, Y., Partush, N., and Yahav, E. (2016). Statistical Similarity of Binaries. SIGPLAN Not., 51(6).

Egele, M., Woo, M., Chapman, P., and Brumley, D. (2014). Blanket Execution: Dynamic Similarity Testing for Program Binaries and Components. In Proc. of USENIX SS.

Jacob, G., Hund, R., Kruegel, C., and Holz, T. (2011). JACKSTRAWS: Picking Command and Control Connections from Bot Traffic. In Proc. of USENIX SS.

Kolias, C., Kambourakis, G., Stavrou, A., and Voas, J. (2017). DDoS in the IoT: Mirai and other Botnets. Computer, 50(7):80–84.

Kornblum, J. (2006). Identifying Almost Identical Files Using Context Triggered Piecewise Hashing. Digital Investigation, 3:91–97.

Marzano, A., Alexander, D., Fazzion, E., Fonseca, O., Cunha, I., Hoepers, C., Steding- Jessen, K., Chaves, M. H. P. C., Guedes, D., and J´unior,W. M. (2018). Monitoramento e Caracterizac¸ ão de Botnets Bashlite em Dispositivos IoT. Anais do SBRC, 36.

M¨ullner, D. (2011). Modern hierarchical, agglomerative clustering algorithms. CoRR, abs/1109.2378.

Neustar (2017). Worldwide DDoS Attacks & Cyber Insights Research Report. Online. Silva, S. S., Silva, R. M., Pinto, R. C., and Salles, R. M. (2013). Botnets: A Survey. Computer Networks, 57(2).

Symantec (2017). Internet Security Threat Report, Volume 22. Online.

Tange, O. (2018). GNU Parallel 2018. Ole Tange.

Zand, A., Vigna, G., Yan, X., and Kruegel, C. (2014). Extracting Probable Command and Control Signatures for Detecting Botnets. In Proceedings of the 29th AACMSAC.

Identificação Automática de Servidores C&C e Identificação de Variantes de Malwares Bashlite e Mirai

Resumo

Referências

Artigos mais lidos do(s) mesmo(s) autor(es)