今天看啥  ›  专栏  ›  威胁棱镜

诱骗 IoT 恶意软件跟踪 C&C 服务器

威胁棱镜  · 公众号  ·  · 2024-07-25 09:00
    

文章预览

工作来源 ASIA CCS 2024 工作背景 在分析 IoT 僵尸网络时,识别 C 服务器至关重要。 C 服务器的 IP 地址一直都是商业威胁情报的重要组成部分,由于 C 服务器通信协议日渐复杂并且活跃周期较短,时效性和准确性也非常重要。如果可以自动化识别 IoT 恶意软件使用的 C 服务器,能够提供极有价值的威胁情报。 工作设计 首先在沙盒中执行 IoT 恶意软件触发 C 请求,紧接着  Profiler 在所有流量中剥离出  C   流量,再通过  MitM  将流量重定向至给定的  IP: 端口 空间范围,最后通过分析通信确定目标是否为 C 服务器。 激活 C 流量 要按照样本文件的架构使用对应架构的环境,使用 QEMU 和 RiotMan 来模拟所需环境。 C 流量剥离 算法如下所示。首先过滤掉不相关的协议( ICMP 、 DHCP 、 ARP 、 NTP 等),接着计算与对端的连接次数 / 请求解析 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览