Identificação Automática de Servidores C&C e Identificação de Variantes de Malwares Bashlite e Mirai

  • Gabriel S. Bastos Universidade Federal de Minas Gerais
  • Artur Marzano UFMG
  • Elverton Fazzion Universidade Federal de Minas Gerais
  • Osvaldo Luis Fonseca Universidade Federal de Minas Gerais
  • Italo Cunha Universidade Federal de Minas Gerais
  • Cristine Hoepers Núcleo de Informação e Coordenação do Ponto br - NIC.br
  • Klaus Steding-Jessen Núcleo de Informação e Coordenação do Ponto br - NIC.br
  • Marcelo H. P. C. Chaves Núcleo de Informação e Coordenação do Ponto br - NIC.br

Resumo


A Internet das Coisas apresenta uma grande quantidade de dispositivos distribuídos ao redor do mundo, e o baixo padrão de segurança de parte desses dispositivos tem sido explorado por agentes maliciosos para compor botnets. O impacto dessas botnets pode ser reduzido por operadores de rede bem informados, bloqueando o acesso aos servidores de Comando e Controle e criando defesas contra novos mecanismos de ataque e disseminação. Neste artigo, estendemos ferramentas existentes em um arcabouço para a detecção de servidores CeC e classificação de malwares em grupos similares. Utilizamos análises estáticas e dinâmicas em combinação com heurísticas para a indicação de endereços CeC, e teoria de grafos para o agrupamento de binários por similaridade. Em nossos resultados, o algoritmo de agrupamento consegue concentrar os binários em poucos grupos, direcionando os esforços dos operadores de rede, enquanto as análises e heurísticas propostas ampliam a identificação de CeCs ao mitigar contramedidas implementadas pelos desenvolvedores de malware.

Palavras-chave: Internet das Coisas, Segurança, Malware

Referências

Angrishi, K. (2017). Turning Internet of Things(IoT) into Internet of Vulnerabilities (IoV): IoT Botnets. CoRR, abs/1702.03681.

Antonakakis, M. et al. (2017). Understanding the Mirai Botnet. In Proc. of USENIX SS. CAIDA (2018). CAIDA AS Rank.

David, Y., Partush, N., and Yahav, E. (2016). Statistical Similarity of Binaries. SIGPLAN Not., 51(6).

Egele, M., Woo, M., Chapman, P., and Brumley, D. (2014). Blanket Execution: Dynamic Similarity Testing for Program Binaries and Components. In Proc. of USENIX SS.

Jacob, G., Hund, R., Kruegel, C., and Holz, T. (2011). JACKSTRAWS: Picking Command and Control Connections from Bot Traffic. In Proc. of USENIX SS.

Kolias, C., Kambourakis, G., Stavrou, A., and Voas, J. (2017). DDoS in the IoT: Mirai and other Botnets. Computer, 50(7):80–84.

Kornblum, J. (2006). Identifying Almost Identical Files Using Context Triggered Piecewise Hashing. Digital Investigation, 3:91–97.

Marzano, A., Alexander, D., Fazzion, E., Fonseca, O., Cunha, I., Hoepers, C., Steding- Jessen, K., Chaves, M. H. P. C., Guedes, D., and J´unior,W. M. (2018). Monitoramento e Caracterizac¸ ão de Botnets Bashlite em Dispositivos IoT. Anais do SBRC, 36.

M¨ullner, D. (2011). Modern hierarchical, agglomerative clustering algorithms. CoRR, abs/1109.2378.

Neustar (2017). Worldwide DDoS Attacks & Cyber Insights Research Report. Online. Silva, S. S., Silva, R. M., Pinto, R. C., and Salles, R. M. (2013). Botnets: A Survey. Computer Networks, 57(2).

Symantec (2017). Internet Security Threat Report, Volume 22. Online.

Tange, O. (2018). GNU Parallel 2018. Ole Tange.

Zand, A., Vigna, G., Yan, X., and Kruegel, C. (2014). Extracting Probable Command and Control Signatures for Detecting Botnets. In Proceedings of the 29th AACMSAC.
Publicado
27/08/2019
Como Citar

Selecione um Formato
BASTOS, Gabriel S.; MARZANO, Artur ; FAZZION, Elverton ; FONSECA, Osvaldo Luis ; CUNHA, Italo ; HOEPERS, Cristine ; STEDING-JESSEN, Klaus ; CHAVES, Marcelo H. P. C.. Identificação Automática de Servidores C&C e Identificação de Variantes de Malwares Bashlite e Mirai. In: SIMPÓSIO BRASILEIRO DE REDES DE COMPUTADORES E SISTEMAS DISTRIBUÍDOS (SBRC), 37. , 2019, Gramado. Anais do XXXVII Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos. Porto Alegre: Sociedade Brasileira de Computação, aug. 2019 . p. 721-734. ISSN 2177-9384. DOI: https://doi.org/10.5753/sbrc.2019.7398.