恶 意 域 名 识 别 与 分 析 预测发现未知威胁的能力 c i r r u s gat e.com 1 有 大 数 据 就 足 够 了 吗 ？ c i r r u s gat e.com 大 只 海 见 捞 森 针 林 2 发现未知威胁，你需要一条线索 c i r r u s gat e.com 3 nfcxhxdttc.cn c i r r u s gat e.com 4 nfcxhxdttc.cn 2015年 6月 21日 - 内 网 DNS 解 析 请 求 c i r r u s gat e.com 5 Conficker 2008年11月 .A c i r r u s gat e.com 250 .D • 随机生成 个域名/天 • 5 • 尝试连接所有域名 个TLD 50,000 • 随机生成 • 110 • 随机尝试连接 个域名/天 个TLD 500 个/天 6 跟踪线索定位威胁 域名解析请求 nfcxhxdttc.cn DNS 日 志 确 定 Co n f ic ke r 感 染 c i r r u s gat e.com 192.168.20.157 C S I RT 检 测 终端 Z 7 发现未知威胁，你需要一条线索 行为 文件 线索 异常 流量 应用 c i r r u s gat e.com 数 据 分 析 引 擎 8 线索与威胁情报 Domain Name Object nfcxhxdttc.cn 更多信息逐步加入 c i r r u s gat e.com 9 域 名 生 成 算 法 DGA 用 于 C&C 联 络 Cryptolocker qnqgkouekldintl.net eppgftqgclxcnpk.biz rosfjxmtnwxynff.ru fqrfedivfwsseom.org spvkivucmxqfcee.co.uk grukdbqeexlychh.info tqxjhfmrpjlvjih.com hswjckithjgpays.net ugywcyndspvscaq.biz vtxlfehkkmeikgx.ru vhbvbifsvbqjcws.org wuakenyanxyybtr.co.uk wiebagnbucjpceq.info c i r r u s gat e.com Gameover Zeus il6ytoywktgp8xv3ve1j3av1v.net t5rr78orl5hw12yheez187kkui.com 9x8t00yk5xhfaw0s0a149r2xk.biz knvqi4fh8yyx13dja5p10mwpww.com gcsqzp1nybe4ssw2hzrwructz.com 1qtkve01cjzsju1hvcsi9d4mmvv.org tqms0g1rr25lmsf61hhseu3jc.com ch9quv19fwudc1l4755d3anvbg.org 4czl1m1iarfcz1o4ssl6cz3eb6.biz dvs9mfhuhphv1jxw4ovdwqv7r.net dbz9th1udt7i310igjatir5c85.com e5pfzy16huhygttl5w0sj3wky.net 2dn4pf1fqa6ivsqm2vx19j9knh.biz 10 DNS 隐 蔽 隧 道 上 传 关 键 数 据 杀 毒 软 件 合 法回传 样本特 征 16-0.19-a3000000.10082.1644.976.3ea3.410.0.6bq4kprjdsbmpkj2kvtanwl1db.avts.mcafee.com FrameworkPOS 木 马 上 传 信 用 卡 数 据 [Unique ID].beacon.[Encoded IP].[Encoded Hostname].[C&C Server].[TLD] [Unique ID].alert.[Encoded App Name].[C&C Server].[TLD] [Unique ID].[Encoded Credit Card Data].[Encoded Credit Card Data].[C&C Server].[TLD] 上 传 关 键 数 据的线 索 dacsjmxlt7p53j8p775hc.nam9hi6nqcc4j6e6wo7d25.56.85h5.com onmg5rfhnrvam7554qxue5p55n.9i9jpu9uc96ovgbpebog8up69a.56.nbgtr.com x8p3ux2hao7ngoi9vrinr445k8.l2os599igokrhlire5uiofx2oa.56.vcxde.com c i r r u s gat e.com 11 Domain Shadowing  域名阴影，利用失窃口令的正常域名账户，大量创建子域名进行钓鱼攻 击。此恶意攻击手法非常有效且难以遏止。因为防御方无法获悉下一个 被黑客利用的账户，所以几乎没有办法预测下一个受害者。 c i r r u s gat e.com 12 采用混淆手法的钓鱼域名 c i r r u s gat e.com 13 利 用 TXT 记 录 下 载 指 令 和 payload Updating Of Malicious Code Patterns Using Public DNS Servers United States Patent US8171467 c i r r u s gat e.com 14 恶意域名作为线索 正常 c i r r u s gat e.com 异常 • 符合语言习惯 • 难以发音阅读 • 容易记忆 • 无法记忆 • 有语义特征 • 内容无意义 • 使用记录符合通常习惯 • 恶意使用记录的特征明显 • 时间长，使用稳定 • 创建时间短，使用不频繁 15 企业内发现恶意域名的价值极高 c i r r u s gat e.com • 直指被入侵设备 • 发现未能防御的未知威胁 • 关联性和及时性完胜信誉库 16 基于已知特征的信誉库 的实际效果如何? c i r r u s gat e.com 17 恶意网址识别率 14 % 28 % Bit.ly 对流行信誉库的实际测试 c i r r u s gat e.com 18 利用先进技术 在海量DNS数据中发现恶意域名 自然语言处理 c i r r u s gat e.com 机器学习 数据挖掘 19