top of page

BlacklistTotal威脅情資平台

L7採用BlacklistTotal阻擋殭屍網路、勒索病毒

BlacklistTotal是整合多個情資平台的blacklist黑名單,經機器人交叉比對移除誤判後,開放讓全球人士可以拿來查詢。跟VirusTotal的概念很像,讓一般人可以很方便來查詢某可疑的IP、URL,是否已經被哪些情資平台列管了? 若被越多情資平台列入blacklist,代表可疑的成分越高,越需要立即進行阻擋。

螢幕擷取畫面 2024-04-12 142317.png

一般機構也可以直接向個別的威脅情資中心採購blacklist,但若過於相信單個情資單位,恐百密一疏。因為各自情資單位有各自獲取情報的來源,這些來源有些重複,有些是獨家。而且威脅採集的數據有些包含完整https的URL,有些僅有domain,有些僅有IP。更有甚者,常常由於某些病毒放在公共的大網站上,例如facebook或者google drive上,導致一些大型網站的IP或者網域被列入黑名單。這導致了大量的誤判,反而降低了該黑名單的可信度。

​相對來說,BlacklistTotal整合了多家情資單位的blacklist,加以綜合判斷,過濾出大量誤判,使得此名單跨領域、跨不同威脅單位,又大大降低誤判濾,使這些寶貴的情資,不會因為一些誤判資料而影響整份blacklist的價值。

​以下介紹勒索病毒如何透過殭屍網路攻擊各大小機構的網路,再介紹各個威脅情資中心。

 

甚麼是殭屍網路(Botnet)?

隨著網路時代與雲端技術的降臨,如今人們無時無刻離不開網路已成為客觀現實。與此同時,隨時擁有網路與使用網路的需求,也讓 Botnet(殭屍網路),逐漸躍升成重大且不可忽視的頭號資安威脅。Botnet 除了具有多樣化與跨平台的特性外,還能成為各式資安威脅的載具與傳輸平台,協助駭客進行目標攻擊、資料竊取與轉送及隱匿行蹤等惡意活動。

 
 

攻擊型態 Ⅰ : 殭屍網路透過Fast-Flux技術回報

Botnet又稱作殭屍網路,是由一群殭屍程式(Bot)構建成的數個網路,不管是何種網路架構,例如:集中式的 IRC與 HTTP協定、點對點的 P2P協定,或者是混和式架構,大部分的Botnet皆需透過IP位址或是Domain Names(網域名稱)來進行溝通與連接。

 

Fast-flux為駭客為了提升殭屍網路的存活率與網路傳輸效能而採用的連接技術,主要是透過DNS 系統中合法的 IP 與 Domain Names 解析運作來掩蓋非法的傳輸行為,其優點包含下列項目:

  • 透過Fast-flux達成網路流量負載平衡,讓Botnet資料不會因為關鍵伺服器失效,而無法進行傳輸

  • 利用 Fast-flux 對應到世界各國的受害機器,增加資訊安全人員追蹤 Botnet 的困難度

  • 使用 Fast-flux 增加網路傳輸節點階層,來保護其主要的 Command and Control Server(命令與控制伺服器,以下簡稱 C2 Server)與資料儲存伺服

Botnet.png

Fast-flux 已成為現今 Botnet 網路傳輸架構中不可或缺的連接技術,上圖為其運作概念圖與實際範例

攻擊型態 ⅠⅠ : 殭屍網路透過Domain-Flux技術回報

Botnet 和一般針對性攻擊最大的不同點在於,Botnet 可隨時和各式軟硬體漏洞還有惡意模組搭配組合,成為客製化的惡意威脅。新一代的 Botnet,不管是功能模組還是服務內容,皆採取模組化訂閱方式,進而演進成 Crimeware Toolkit(犯罪軟體工具組),大幅降低 Botnet 建立與管理的門檻。

其中已被廣泛使用的連接技術,Domain-flux,即為內建的一個重要模組。為了提高 Bot 回報的成功率,駭客採用DGA(Domain Generation Algorithm)技術來動態產生連接與回報用的網域名稱,讓Bot可以不斷嘗試透過合法的DNS服務與重要的C2 Server或是Proxy伺服器連接,進而提升整體 Botnet 的壽命。

Botnet2.png

SOLUTIONS

集結國際情報單位提供的黑名單,阻擋殭屍網路

勒索病毒就像場棒球比賽,游擊內野手是防毒軟體,要能夠刺殺封殺打者;打者不斷改變打擊姿勢,規避內野手的檔案特徵碼判斷,敲到外野準備形成安打;L7被9大外野手金手套獎附身,能預測安打飛的方向與落點(中繼站),將安打接殺。不同防線各有本領,勒索病毒打不出安打就不會下載key進行加密。九大金手套獎包括Malware Patrol、FireHOL、NCCST、Cisco Talos黑名單、SSLBL、RamsonwareTracker、Google Safe Browsing、TWISAC、桃竹苗聯合防禦計畫。

情報單位 Ⅰ : 擅長阻擋勒索病毒的Malware Patrol

Malware Patrol是一家擅長阻擋勒索病毒連線的引擎,特長在於不斷從各大網路的trace去追蹤DGA所連線到的Domain與IP。正如前一節所述,這些Domain非常大量,就算能夠預測出來也很能把這麼大量的Domain/IP放到設備裡面去做為黑名單。Malware Patrol是透過30天內曾出現過的DGA Domain,經不斷反查IP確定是存活的IP後,將有效的Domain與IP放到黑名單中。絕大多數的勒索病毒家族,在殭屍電腦沒有回報成功到惡意中繼站並下載加密金鑰前,是不會對電腦檔案進行加密的。

Malware protal.png
Malware protal2.png

情報單位 ⅠⅠ : 擅長阻擋惡意中繼站的FireHOL

FireHOL是一個免費幫大家整合犯罪IP黑名單的組織,提供自動下載的script讓大家能自行定期取用。對已知的惡意IP會進行確認,若已脫離嫌疑就會自動被移除。

firehol.png

情報單位 ⅠII : Cisco Talos黑名單

作為Cisco收購Snort之後Firepower系列的領頭羊,Talos團隊定期發布IP與Domain的黑名單於其網頁上,提供大家使用。

Talos.png

情報單位 IV : Abuse.ch的SSLBL黑名單

目前許多網站都已經加密為https,包括malware也常使用https作為回報中繼站的手段。這些https連線的憑證簽發單位,常常是有問題或者不具公信力的簽發單位所簽發的。因此,SSL Blacklist (SSLBL)收集了不良憑證的fingerprint,讓具備過濾certificate fingerprint的設備進行阻擋。對於不具備辨識certificate fingerprint的設備,abuse.ch也提供IP名單作為阻擋的黑名單。

sslbl.png

情報單位 V : Abuse.ch的RamsonwareTracker勒索病毒黑名單

勒索病毒的追蹤是RamsonwareTracker的目標,透過掌握勒索病毒的整體網路架構,此站台所提供的黑名單能有效阻絕勒索病毒的散播。

Romsomeware tracker.png

情報單位 VⅠ : Google Safe Browsing惡意網址黑名單

透過Chrome瀏覽器的數據收集,Google提供大數據分析結果給各地透過API來查詢URL是否為惡意。

google save browsing.png
bottom of page