六月威胁情报态势报告-腾讯.PDF

腾讯反病毒实验室 哈勃分析系统 六月威胁情报态势报告 ——DarkComet恶意网络协议篇 报告编号：2016第3期 发布时间：2016年7月 目录 一、 报告概述1 1． 关于我们1 2． 关于本报告1 二、 DarkComet协议概述2 三、 DarkComet协议版本分布情报4 四、 DarkComet木马连接域名情报4 五、 总结与建议5 一、报告概述 威胁情报，指的是对计算机系统 （包括但不限于大型机、服务站、个人电脑、手机等移 动设备、嵌入式设备等）中，可能对使用者产生威胁的程序、数据、流量等，进行感知、识 别、提取、汇总后归纳而成的情报。 随着恶意产业的不断发展，在传统的基于恶意代码和特征的打击方式之外，基于威胁情 报的恶意威胁检测和防御的方法正在兴起，并成为近几年的热门方向。 在这个背景下，腾讯反病毒实验室哈勃分析系统推出 “威胁情报态势报告”系列报告， 目的是在安全行业内交流我们对于威胁情报的认识，分享我们对于威胁情报的利用方法，同 时曝光恶意木马作恶手法和恶意产业资源，携手各安全厂商共同开展打击。 1．关于我们 腾讯反病毒实验室是腾讯旗下的安全特色团队，从 “自研引擎能力、哈勃分析系统、 APT前沿技术分析”等多个角度入手，通过建立 “安全查杀能力、热点快速响应能力及病 毒样本分析”等全面、系统、一体化的防护措施，为腾讯安全实力进一步提供了强大技术支 撑。独立开发的杀毒引擎以及云引擎已经获得了VB100、AV-C、西海岸、AV-TEST等多家 国际著名评测机构认证，并且已被用于腾讯电脑管家和手机管家等安全产品之中。 哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系 统，支持对Windows程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用 虚拟运行环境，在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为， 并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为，同时结合行为判定、 静态特征判定、大数据学习引擎判定等多种手段，哈勃系统可以有效地识别出恶意样本。哈 勃分析系统拥有调度灵活的大规模分析集群，实现了千万级的样本日吞吐量，可以对海量样 本进行高效的筛选和识别。 2．关于本报告 本报告是哈勃分析系统2016年发布的第3期威胁情报态势报告，子主题是“DarkComet 恶意网络协议篇”。 网络协议，指的是在互联网中进行通信交流的数据规范。传统理论中将网络协议分为 层，其中与各类软件关系最紧密的是应用层的协议，因为这一层与软件最近，软件可以自由 选择或者调整相关的协议，以满足各种不同的需求。常见的网络协议包括HTTP协议、FTP 协议等。 1 木马在与CC服务器通信的过程中，有一部分木马会选择HTTP协议等常用的协议， 这样的优点在于可以使用已有的成熟技术，节省开发成本。另一部分木马会自定义专用的网 络协议，这样可以对网络上传输的数据内容有更好的控制能力，可以通过加密等手段躲避追 踪。本报告中所涉及的恶意网络协议，就是指这类木马在与CC服务器进行通信的过程中 1关于CC服务器相关内容，请参考哈勃分析系统此前发布的威胁情报态势报告（CC服务器篇）。 1 自定义的网络协议。 木马在使用恶意网络协议与CC服务器进行通信的过程中，最显著的特征存在于收发 的网络数据包之中。由于协议规定了数据包的内容和格式，只有满足这些规范的数据包，才 能被网络通信的另一方解码，将信息和指令顺利地传递过去，因此，在对协议有所了解的情 况下，可以使用相同的办法对截获的网络数据包进行解码，从而获取到木马与CC服务器 通信的内容，为木马的分析和判定提供有用的数据。此外，即使不知道协议的细节，也可以 对数据包内容使用一些聚类算法，从中挖掘未知协议的线索，为进一步的分析提供依据。 哈勃分析系统从六月全月系统自动捕获的威胁情报中，挑选了一类比较典型的恶意网络 协议——DarkComet，根据该协议的格式和内容等属性，对捕获到的威胁情报进行了统计和 分析。 二、D