Identificação Automática de Servidores C&C e Identificação de Variantes de Malwares Bashlite e Mirai

  • Gabriel Bastos Universidade Federal de Minas Gerais
  • Artur Marzano Universidade Federal de Minas Gerais
  • Osvaldo Fonseca Universidade Federal de Minas Gerais
  • Ítalo Cunha Universidade Federal de Minas Gerais
  • Elverton Fazzion Universidade Federal de São João del-Rei / Universidade Federal de Minas Gerais
  • Marcelo H. P. C. Chaves Núcleo de Informação e Coordenação do Ponto br - NIC.br
  • Cristine Hoepers Núcleo de Informação e Coordenação do Ponto br - NIC.br
  • Klaus Steding-Jessen Núcleo de Informação e Coordenação do Ponto br - NIC.br
  • Dorgival Guedes Universidade Federal de Minas Gerais
  • Wagner Meira Jr. Universidade Federal de Minas Gerais

Resumo


A Internet das Coisas é composta de inúmeros dispositivos distribuídos ao redor do mundo. O baixo padrão de segurança por parte desses dispositivos tem sido explorado por agentes maliciosos para construir botnets. O impacto dessas botnets pode ser reduzido ao facilitar que analistas de segurança bloqueiem o acesso aos servidores de Comando e Controle. Neste artigo, integramos e estendemos ferramentas existentes em um arcabouço para a identificação de servidores C&C e classificação de malwares em grupos similares. Utilizamos análise estática e dinâmica em combinação com heurísticas para identificar servidores C&C, e algoritmos de agrupamento para classificar binários. Em nossos resultados, as análises e heurísticas propostas melhoram a identificação de C&Cs, mitigando contramedidas implementadas por desenvolvedores de malware, enquanto o algoritmo de agrupamento consegue classificar os binários em grupos significativos, direcionando os esforços de analistas de segurança.

Palavras-chave: Internet das Coisas, Segurança, Malware

Referências

Angrishi, K. (2017). Turning Internet of Things(IoT) into Internet of Vulnerabilities (IoV): IoT Botnets. CoRR, abs/1702.03681.

Antonakakis, M. et al. (2017). Understanding the Mirai Botnet. In Proc. of USENIX SS. CAIDA (2018). CAIDA AS Rank.

David, Y., Partush, N., and Yahav, E. (2016). Statistical Similarity of Binaries. SIGPLAN Not., 51(6).

Egele, M., Woo, M., Chapman, P., and Brumley, D. (2014). Blanket Execution: Dynamic Similarity Testing for Program Binaries and Components. In Proc. of USENIX SS.

Jacob, G., Hund, R., Kruegel, C., and Holz, T. (2011). JACKSTRAWS: Picking Command and Control Connections from Bot Traffic. In Proc. of USENIX SS.

Kolias, C., Kambourakis, G., Stavrou, A., and Voas, J. (2017). DDoS in the IoT: Mirai and other Botnets. Computer, 50(7):80–84.

Kornblum, J. (2006). Identifying Almost Identical Files Using Context Triggered Piecewise Hashing. Digital Investigation, 3:91–97.

Marzano, A., Alexander, D., Fazzion, E., Fonseca, O., Cunha, I., Hoepers, C., Steding- Jessen, K., Chaves, M. H. P. C., Guedes, D., and J´unior,W. M. (2018). Monitoramento e Caracterizac¸ ão de Botnets Bashlite em Dispositivos IoT. Anais do SBRC, 36.

M¨ullner, D. (2011). Modern hierarchical, agglomerative clustering algorithms. CoRR, abs/1109.2378.

Neustar (2017). Worldwide DDoS Attacks & Cyber Insights Research Report. Online. Silva, S. S., Silva, R. M., Pinto, R. C., and Salles, R. M. (2013). Botnets: A Survey. Computer Networks, 57(2).

Symantec (2017). Internet Security Threat Report, Volume 22. Online.

Tange, O. (2018). GNU Parallel 2018. Ole Tange.

Zand, A., Vigna, G., Yan, X., and Kruegel, C. (2014). Extracting Probable Command and Control Signatures for Detecting Botnets. In Proceedings of the 29th AACMSAC.
Publicado
06/05/2019
Como Citar

Selecione um Formato
BASTOS, Gabriel et al. Identificação Automática de Servidores C&C e Identificação de Variantes de Malwares Bashlite e Mirai. In: SIMPÓSIO BRASILEIRO DE REDES DE COMPUTADORES E SISTEMAS DISTRIBUÍDOS (SBRC), 37. , 2019, Gramado. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2019 . p. 721-734. ISSN 2177-9384. DOI: https://doi.org/10.5753/sbrc.2019.7398.