LEET 2010：關(guān)注威脅、攻擊網(wǎng)絡事件

4月，第三屆大規(guī)模攻擊和緊急威脅討論會（Workshop on Large-Scale Exploits and Emergent Threats，簡稱 LEET)在美國加州的圣何塞市召開。這是一個USENIX舉辦的小型安全討論會，自2008年起每年舉辦一屆。盡管規(guī)模不大，但參加者都是來自企業(yè)的一線安全人員和研究機構(gòu)中的資深科學家。LEET關(guān)注的是大規(guī)模和新出現(xiàn)的威脅、攻擊網(wǎng)絡事件以及對應的解決方法。今年的LEET共包括四個Session，分別是：僵尸網(wǎng)絡（Botnet）、威脅測量（Threat Measurement and Characterization）、威脅檢測和消除（Threat Detection and Mitigation）、新的威脅和挑戰(zhàn)（New Threats and Challenges）。

1 僵尸網(wǎng)絡

Botnet

僵尸網(wǎng)絡是目前互聯(lián)網(wǎng)公認的最大威脅之一，龐大的Botnet成為各類網(wǎng)絡犯罪（分布式拒絕服務攻擊，垃圾郵件，帳號竊取等等）的基礎(chǔ)，并且迄今為止一直缺少有效的抑制僵尸網(wǎng)絡的方式。這次會議的兩篇文章分別從不同角度討論Botnet的組織結(jié)構(gòu)，希望能為檢測和抑制僵尸網(wǎng)絡的攻擊提供新的思路。

來自加州大學伯克利分校的Chia Yuan Cho等撰寫的“Insights from the Inside: A View of Botnet Management from Infiltratio”介紹了他們?nèi)绾瓮ㄟ^偽裝技術(shù)進入一個以發(fā)送垃圾郵件為主的僵尸網(wǎng)絡MegaD，根據(jù)他們持續(xù)4個月的觀測，現(xiàn)有的僵尸網(wǎng)絡不再是單一的控制機構(gòu)，在MegaD中，垃圾郵件的發(fā)送控制被不同的服務器控制，根據(jù)角色可以把它們分為命令控制服務器、程序下載服務器、模板下載服務器和郵件發(fā)送服務器。在觀測過程中，他們還發(fā)現(xiàn)了MegaD遭受來自安全組織FireEye關(guān)閉行動之后，僅通過1周時間就不能恢復到超過被關(guān)閉之前的垃圾郵件發(fā)送量，說明僵尸網(wǎng)絡的存活能力非常強。

來自北卡羅來納大學的Chris Nunnery等撰寫的“Tumbling Down the Rabbit Hole: Exploring the Idiosyncrasies of Botmaster Systems in a Multi-Tier Botnet Infrastructure”介紹了他們?nèi)绾螐奈募途W(wǎng)絡Trace分析一種新的P2P僵尸網(wǎng)絡Waledac，Waledac是著名蠕蟲的Storm的一種后續(xù)發(fā)展。Nunnery等人發(fā)現(xiàn)Waledac的命令控制服務器呈現(xiàn)了一種復雜的多層控制體制。

2 威脅測量

Threat Measurement and Characterization

威脅測量的三篇論文主要討論了虛假防病毒軟件、惡意網(wǎng)頁和P2P的隱私泄漏問題。

來自Google的Moheeb Abu Rajab等人的“ The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution”對目前互聯(lián)網(wǎng)上的虛假防病毒軟件（Fake Anti-Virus Software）進行統(tǒng)計。和一般的惡意軟件不同，虛假防病毒軟件通過欺騙用戶付費來刪除其實不存在的惡意程序來獲利。根據(jù)Google在過去13個月中的搜索，共有11000多個域名和傳播虛假防病毒軟件相關(guān)，占總惡意網(wǎng)頁相關(guān)域名的15%，并且其絕對數(shù)量和相對數(shù)量仍在不停增長，Google預計這種形式的惡意軟件將成為通過網(wǎng)頁傳播的惡意軟件的主流。

來自法國的Stevens Le Blond等人的Spying the World from Your Laptop:Identifying and Profiling Content Providers and Big Downloaders in BitTorrent對目前最流行的P2P軟件BT的隱私性進行了測試，發(fā)現(xiàn)現(xiàn)有BT協(xié)議的漏洞，只要進入P2P網(wǎng)絡，一臺主機就可以對網(wǎng)絡中的其他主機進行信息收集。作者在103天中通過下載20億個文件一共對1億4800萬個IP地址進行了監(jiān)測。

來自微軟的Jack W. Stokes等人的“WebCop: Locating Neighborhoods of Malware on the Web”介紹了如何通過基于主機的防病毒軟件和搜索引擎結(jié)合來對遍布互聯(lián)網(wǎng)的惡意網(wǎng)頁進行檢測。作者的基本思路是通過防病毒軟件獲得包含惡意軟件的網(wǎng)頁信息，然后通過搜索引擎發(fā)現(xiàn)鏈接到包含惡意軟件的網(wǎng)頁，并對這些惡意網(wǎng)頁的“社區(qū)”中的網(wǎng)頁進行檢測，從而發(fā)現(xiàn)更多的惡意軟件。

3 威脅檢測和消除

Threat Detection and Mitigation

本次會議中的威脅檢測方法中，基于域名的黑名單是重點，有兩篇文章從不同角度討論了黑名單的擴展問題。

來自美國加州大學伯克利分校的Mark Felegyhazi等人的On the Potential of Proactive Domain Blacklisting從域名的注冊信息來進行黑名單的推理工作。通過對比注冊時間、注冊人和注冊服務器信息，作者從一個已知的黑名單域名可以推出3～15個新的可疑域名，經(jīng)過后期第三方安全組織的驗證，其中93%的預測域名被認為是可疑的，73%的域名則最終進入了安全組織的黑名單。作者認為這種預反應的黑名單比后反應的黑名單可以提前2天進行預警，從而達到更好的黑名單效果。

來自日本NTT的Kazumichi Sato等人的Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries則從DNS解析行為來進行黑名單的推理工作。作者認為目前的惡意軟件都會使用多個域名保證惡意網(wǎng)絡的存活，感染主機對這些域名的解析行為也應該具有相似性，因此通過對比主機對已知黑名單中的惡意域名和其他域名的訪問頻度等方面，可以發(fā)現(xiàn)新的惡意軟件使用的域名。但他們的方法目前有較高的誤報率，相對于上一篇文章的方法效果有限。

4 新的威脅和挑戰(zhàn)

New Threats and Challenges

本次會議的新威脅部分介紹了幾種不同類型的新攻擊或威脅形式，如基于Latex文檔的病毒傳播和基于聊天的新社會工程學攻擊。

來自美國加州大學圣迭戈分校的Stephen Checkoway等人的“Are Text-Only Data Formats Safe? Or, Use This LaTeX Class File to Pwn Your Computer”介紹了如何通過Latex文件制作病毒，傳統(tǒng)上認為只有包含宏功能的Word文件才能傳播病毒，但作者證明通過Latex的宏集定義也可以完成同樣的功能。

來自EUROCOM的Tobias Lauinger等人的“Honeybot, Your Man in the Middle for Automated Social Engineering”則展示了一種新的攻擊方式，通過機器人偽裝人類進行多步聊天來欺騙普通的計算機用戶點擊惡意網(wǎng)頁鏈接，這種方式相對于傳統(tǒng)的基于郵件和聊天軟件的方式有更高的成功率，在作者的實驗中，有70%的用戶點擊了他們發(fā)送的鏈接。

（翻譯：楊望）