$ whoami b1t<master@zomeye.org> GitHub/Twitter @zom3y3 TO BE A MALWARE HUNTER! #Pentest #C #Antivirus #Python #Botnet #DDoS Attention ! 以下言论仅代表个人观点,与任何组织和其他个人没有任何关系 本议题数据纯属虚构,如有雷同纯属巧合 Outline • 为什么研究僵尸网络? • 僵尸网络识别、监控技术分享 • Silver Lords黑客组织追踪分析 为什么研究僵尸网络 从哪里开始 • 2014年底，当我在阿里云每天需要解决30个“恶意主机”工单的时候… • 解决思路：封IP+杀进程 怎么解决？ 恶意主机项目 恶意进程 恶意IP 自主杀毒软件设计(FindMalware) 流量检测 进程检测 ACM(恶意软件追踪系统) F2M H2M S2M FindMalware 简介: FindMalware是一款用C/C++语言编写，覆盖Windows和Linux平台的恶意软件追踪 工具。其以PE、ELF 代码段哈希值作为静态特征检测恶意软件，并获取进程socket通信 提取恶意软件CNC。除此之外它也集成了信息采集器功能，能够采集主机文件、进程、网 络等信息，并配合云端数据分析平台进行高级威胁检测。 项目地址：https://github.com/zom3y3/findmalware 进程检测 • ELF • PE 可执行文件 • 进程模块 • 父进程 信息采集 • socket 进程通信 • 信息上报 • 文件信息 • 进程信息 • 网络信息 威胁源监控 • 人肉添加 • 漏报机制 • VT等平台 • 网络爬虫 • ClamAV 病毒库 病毒识别 • 病毒特征库 • 基本行为 • 进程通信 信息追踪 • 提取CNC • TCP/UDP 进程通信 • 文件hash追踪 • 网络流量追踪 • PoC追踪 • • • • • • • 410万自主病毒库 集成多款AV 30秒/台 9个月 50个中控/天 病毒检出率95% XX重大案件 Now ! 僵尸网络威胁情报项目规划 情报搜集平台 分布式蜜罐 系统 情报订阅系 统 情报分析平台 C&C自动 化监控系统 僵尸网络关 联分析系统 情报分 发平台 僵尸网络威 胁情报平台 Honeypot 蜜罐系统是作为 情报搜集平台一 个主要部分，其 主要目的是搜集 主流的PoC，恶 意软件样本，恶 意下载源等。 利用MHN进行分布式蜜罐部署 利用MHN进行分布式蜜罐部署 利用MHN进行分布式蜜罐部署 CNC Command Tracking CNC监控系统是 作为情报分析平 台一个主要部分， 其主要目的是逆 向分析主流僵尸 网络通信协议， 并监控其攻击指 令。 https://github.com/ValdikSS/billgates-botnet-tracker 挑选Linux/Setag.B.Gen样本（80d0cac0cd6be8010819fdcd7ac4af46） 作为本次测试对象 挑选Linux/Setag.B.Gen样本（80d0cac0cd6be8010819fdcd7ac4af46） 作为本次测试对象 • C&C提取 • C&C探活 • C&C分类 • C&C通信协议解密 • C&C监控