web-dev-qa-db-ja.com

マルウェアコールホーム/ビーコンアクティビティを検出する手法は何ですか?

アクティブなマルウェアが更新や指示を取得したり、盗んだ情報を送り返したりするために、アクティブマルウェアが「コールホーム」(またはビーコン)することは非常に一般的です。

インターネットへのWebアクセスがプロキシを経由する必要がある内部ネットワークでは、プロキシを通過せず、デフォルトでゲートウェイファイアウォールによってドロップされるトラフィックは、マルウェアコールホームアクティビティを検出するのに役立ちます。

マルウェアコールホーム/ビーコンアクティビティを検出する手法は何ですか?

8
Filipon

これを行うにはいくつかの方法があり、主に使用可能なログ、ネットワークの正確な性質、および感染しているマルウェアの種類によって異なります。

マルウェアはプロキシを使用でき、使用します。ネームサーバーを使用でき、使用します。通常のユーザーのコンテキストで実行できます。

懸念の兆候がなく、事実上ブラインドで作業している場合は、以下を使用して潜在的なマルウェアトラフィックを選択できます。

  • 他のデバイスが通信していないドメインへのWebトラフィック
  • 既知の危険なTLD(.top、.gqなど)を持つドメインへのWebトラフィック
  • ユーザーエンドポイントから発信される大量のDNSトラフィック
  • 正確な間隔で呼び出される定期的なトラフィック
  • 奇数ポートのプロキシトラフィック
  • 時間外に残るプロキシトラフィック
  • URI内のコマンドを使用したHTTPトラフィック(つまり、Webシェル)
  • 異常なユーザーエージェント文字列
4
Doomgoose

DNSビーコンは私の経験に基づいて最も一般的です。また、Let's Encrypt証明書を使用してネットワーク内で通信し、Amazon Web Serviceのように見えるシステムにも注意してください。ただし、実際はそうではありません。これらは、ハッカーのトレードクラフトの兆候です。これについての詳細は、「Malleable C2」のGooglingを参照してください。

1
guerilla7

マルウェアがコマンドアンドコントロールサーバーと通信しようとする試みを検出するには、さまざまな方法があります。私の意見では、マルウェアの動的分析を実行する最良の方法は、分離されたVM実行中のFakeNetで分析することです。

マルウェアが実行されると、さまざまな方法を使用してネットワーク接続を確立します。その目標は、C&Cとのコミュニケーションを確立することです。中には、Googleや8.8.8.8などのよく知られた公開サイトにpingを実行するものもあります。

FakeNetは、ネットワークをシミュレートすることでこのようなリクエストに偽の応答で応答し、マルウェアがインターネットに接続していると信じ込ませます。ログは.pcap形式でエクスポートして、個別に分析できます。 FakeNetで詳細を読むことができます ここ

1
bluffmast3r

私はドゥームースの答えに本当に同意しますが、別のことも提案したいと思います。マルウェアを検出した場合は、それを分離して、基本的な動的分析を実行できます。この場合、ネットワークにアクセスできる仮想マシンにマルウェアを配置し、マルウェアを実行して、「ホーム」に到達し、wiresharkまたはこれを一部として実行する他のツールを介してトラフィックを分析できるようにしますマルウェアの動的分析ルーチンの。トラフィックが特定されたら、ids/ips/firewalls /何でもルールを作成できるため、大きなネットワークでの拡散をさらに検出したりブロックしたりできます。それとは別に、ログを分析する時間を大幅に節約できます。ログには、マルウェア間の正当なトラフィックの行が多数含まれている場合もあります。

1