SlideShare a Scribd company logo

恶意域名识别与分析 -董靖.pdf

Y
yangning15

恶意域名识别与分析 -董靖.pdf

Software
1 of 30
Download to read offline
恶 意 域 名 识 别 与 分 析
cirrusgate.com 1 预 测 发 现 未 知 威 胁 的 能 力
cirrusgate.com 2 有 大 数 据 就 足 够 了 吗 ? 大 海 捞 针 只 见 森 林
cirrusgate.com 3 发 现 未 知 威 胁 , 你 需 要 一 条 线 索
cirrusgate.com 4 n f c x h x d t t c . c n
cirrusgate.com 5 n f c x h x d t t c . c n 2015年 6月 21日 - 内 网 DNS 解 析 请 求
cirrusgate.com 6 Conficker • 随机生成 50,000 个域名/天 • 110 个TLD • 随机尝试连接 500 个/天 • 随机生成 250 个域名/天 • 5 个TLD • 尝试连接所有域名 . A . D 2 0 0 8 年 1 1 月
cirrusgate.com 7 n f c x h x d t t c . c n 192.168.20.157 域 名 解 析 请 求 DNS 日 志 终 端 Z 跟 踪 线 索 定 位 威 胁 CSIRT 检 测 确 定 Conficker 感 染
cirrusgate.com 8 线 索 异 常 文 件 行 为 流 量 应 用 数 据 分 析 引 擎 发 现 未 知 威 胁 , 你 需 要 一 条 线 索
cirrusgate.com 9 线 索 与 威 胁 情 报 Domain Name Object nfcxhxdttc.cn 更 多 信 息 逐 步 加 入
cirrusgate.com 10 域 名 生 成 算 法 DGA 用 于 C&C 联 络 qnqgkouekldintl.net eppgftqgclxcnpk.biz rosfjxmtnwxynff.ru fqrfedivfwsseom.org spvkivucmxqfcee.co.uk grukdbqeexlychh.info tqxjhfmrpjlvjih.com hswjckithjgpays.net ugywcyndspvscaq.biz vtxlfehkkmeikgx.ru vhbvbifsvbqjcws.org wuakenyanxyybtr.co.uk wiebagnbucjpceq.info Cryptolocker il6ytoywktgp8xv3ve1j3av1v.net t5rr78orl5hw12yheez187kkui.com 9x8t00yk5xhfaw0s0a149r2xk.biz knvqi4fh8yyx13dja5p10mwpww.com gcsqzp1nybe4ssw2hzrwructz.com 1qtkve01cjzsju1hvcsi9d4mmvv.org tqms0g1rr25lmsf61hhseu3jc.com ch9quv19fwudc1l4755d3anvbg.org 4czl1m1iarfcz1o4ssl6cz3eb6.biz dvs9mfhuhphv1jxw4ovdwqv7r.net dbz9th1udt7i310igjatir5c85.com e5pfzy16huhygttl5w0sj3wky.net 2dn4pf1fqa6ivsqm2vx19j9knh.biz Gameover Zeus
cirrusgate.com 11 杀毒软件合法回传样本特征 16-0.19-a3000000.10082.1644.976.3ea3.410.0.6bq4kprjdsbmpkj2kvtanwl1db.avts.mcafee.com DNS 隐 蔽 隧 道 上 传 关 键 数 据 上传关键数据的线索 dacsjmxlt7p53j8p775hc.nam9hi6nqcc4j6e6wo7d25.56.85h5.com onmg5rfhnrvam7554qxue5p55n.9i9jpu9uc96ovgbpebog8up69a.56.nbgtr.com x8p3ux2hao7ngoi9vrinr445k8.l2os599igokrhlire5uiofx2oa.56.vcxde.com FrameworkPOS木马上传信用卡数据 [Unique ID].beacon.[Encoded IP].[Encoded Hostname].[C&C Server].[TLD] [Unique ID].alert.[Encoded App Name].[C&C Server].[TLD] [Unique ID].[Encoded Credit Card Data].[Encoded Credit Card Data].[C&C Server].[TLD]
cirrusgate.com 12 Domain Shadowing 域名阴影,利用失窃口令的正常域名账户,大量创建子域名进行钓鱼攻 击。此恶意攻击手法非常有效且难以遏止。因为防御方无法获悉下一个 被黑客利用的账户,所以几乎没有办法预测下一个受害者。 
cirrusgate.com 13 采 用 混 淆 手 法 的 钓 鱼 域 名
cirrusgate.com 14 利 用 TXT 记 录 下 载 指 令 和 payload Updating Of Malicious Code Patterns Using Public DNS Servers United States Patent US8171467
cirrusgate.com 15 恶 意 域 名 作 为 线 索 • 符 合 语 言 习 惯 • 容 易 记 忆 • 有 语 义 特 征 • 使 用 记 录 符 合 通 常 习 惯 • 时 间 长 , 使 用 稳 定 • 难 以 发 音 阅 读 • 无 法 记 忆 • 内 容 无 意 义 • 恶 意 使 用 记 录 的 特 征 明 显 • 创 建 时 间 短 , 使 用 不 频 繁 正 常 异 常
cirrusgate.com 16 企 业 内 发 现 恶 意 域 名 的 价 值 极 高 • 直 指 被 入 侵 设 备 • 发 现 未 能 防 御 的 未 知 威 胁 • 关 联 性 和 及 时 性 完 胜 信 誉 库
cirrusgate.com 17 基 于 已 知 特 征 的 信 誉 库 的 实 际 效 果 如 何 ?
cirrusgate.com 18 B i t . l y 对 流 行 信 誉 库 的 实 际 测 试 恶 意 网 址 识 别 率 14 % 28 %
cirrusgate.com 19 自 然 语 言 处 理 机 器 学 习 数 据 挖 掘 利 用 先 进 技 术 在 海 量 D N S 数 据 中 发 现 恶 意 域 名
cirrusgate.com 20 • N-grams • Random Forest • Levenshtein Distance • 自 有 算 法 库 • C 4 . 5 • Adaboosting • Word Segmentation 算 法 组 合 与 特 征 选 取
cirrusgate.com 21 发 现 异 常 域 名 就 结 束 了 吗 ? 4000万 某 省 2 4 小 时 唯 一 域 名 数 量 发 现 异 常 域 名 数 量 60万
cirrusgate.com 22 帮 助 安 全 人 员 更 好 地 使 用 线 索 : 恶 意 域 名 分 类 分 析
cirrusgate.com 23 ~100 4000 万 某 省 2 4 小 时 唯 一 域 名 数 量 发 现 异 常 域 名 数 量 60万 异 常 域 名 分 类 线 索 数 量 级 要 降 到 安 全 人 员 可 以 分 析
cirrusgate.com 24 发 现 DNS 隐 蔽 信 道 下 载 payload • TXT 记 录 长 度 有 限 , 需 要 多 次 查 询 才 能 拼 接 payload • 同 一 终 端 频 繁 发 送 同 源 恶 意 域 名 解 析 请 求 • 自 动 批 量 查 询 同 源 恶 意 域 名 组 TXT 记 录 • 是 否 存 在 多 个 下 载 数 据 长 度 超 过 1 0 0 字 符 情 景 • 与 正 常 记 录 不 同 的 字 符 使 用 组 合
cirrusgate.com 25 • 计 算 节 点 横 向 扩 展 配 置 简 单 • 算 法 和 规 则 库 升 级 快 速 便 捷 高 性 能 嵌 入 式 易 扩 展 • 单 线 程 性 能 : > 2 0 万 条 / 秒 • 模 块 化 嵌 入 SIEM 、NGFW 、AV 、Sandbo x 等 • 小 型 化 、轻 资 源 消 耗 应 用 场 景 广 泛 才 能 成 功
cirrusgate.com 26 • 拼 音 和 数 字 域 名 (360 、51 、kaixin001) • 白 名 单 的 稀 缺 和 不 可 靠 • 缺 少 可 供 机 器 学 习 的 国 内 样 本 • 不 规 范 的 域 名 滥 用 现 象 (xshzzxx.net ) • 易 用 的 人 机 交 互 界 面 产 品 化 中 的 工 程 难 点
cirrusgate.com 27 复 杂 的 域 名 生 态 环 境 : 经 验 与 知 识 的 积 累 cdn.marketplacecontent.windowsphone.com.nsatc.net www.update.microsoft.com.nsatc.net login.passport.com.nsatc.net v4windowsupdate.microsoft.nsatc.net eds-anon.xboxlive.com.nsatc.net r.msn.com.nsatc.net clientconfig.microsoftonline-p.net.nsatc.net advertising.microsoft.com.nsatc.net mobileads.msn.com.nsatc.net login.live.com.nsatc.net
cirrusgate.com 28 应 对 高 级 DGA 算 法 带 来 的 新 挑 战 live app update login ser vice mobile account PayPal + + manager apis content checking sh0p transfer statement repor t customer c1ient feedback transaction fraud secure
cirrusgate.com 29 那 些 来 不 及 讲 的 … • 实 时 阻 断 与 警 告 • 与 其 它 来 源 线 索 交 叉 定 位 入 侵 • 揭 示 入 侵 路 径 和 时 间 • 威 胁 情 报 生 产 • 安 全 服 务

Recommended

Discovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptxDiscovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptxAlan Lee
 
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題Alan Lee
 
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud
 
分布式爬虫
分布式爬虫分布式爬虫
分布式爬虫drewz lin
 
淘宝网前台应用性能优化实践
淘宝网前台应用性能优化实践淘宝网前台应用性能优化实践
淘宝网前台应用性能优化实践丁 宇
 
金山云查询系统改进之路1
金山云查询系统改进之路1金山云查询系统改进之路1
金山云查询系统改进之路1Zoom Quiet
 
淘宝前台系统性能分析与优化
淘宝前台系统性能分析与优化淘宝前台系统性能分析与优化
淘宝前台系统性能分析与优化丁 宇
 
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)im_yunshu
 

Recommended

Discovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptxDiscovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptxAlan Lee
 
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題Alan Lee
 
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud
 
分布式爬虫
分布式爬虫分布式爬虫
分布式爬虫drewz lin
 
淘宝网前台应用性能优化实践
淘宝网前台应用性能优化实践淘宝网前台应用性能优化实践
淘宝网前台应用性能优化实践丁 宇
 
金山云查询系统改进之路1
金山云查询系统改进之路1金山云查询系统改进之路1
金山云查询系统改进之路1Zoom Quiet
 
淘宝前台系统性能分析与优化
淘宝前台系统性能分析与优化淘宝前台系统性能分析与优化
淘宝前台系统性能分析与优化丁 宇
 
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)im_yunshu
 
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ NisraOrange Tsai
 
一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程WASecurity
 
淘宝主备数据库自动切换
淘宝主备数据库自动切换淘宝主备数据库自动切换
淘宝主备数据库自动切换mysqlops
 
分布式爬虫
分布式爬虫分布式爬虫
分布式爬虫mysqlops
 
MySQL自动切换设计与实现
MySQL自动切换设计与实现MySQL自动切换设计与实现
MySQL自动切换设计与实现orczhou
 
主库自动切换 V2.0
主库自动切换 V2.0主库自动切换 V2.0
主库自动切换 V2.0jinqing zhu
 
Linux system security
Linux system securityLinux system security
Linux system securityKenny (netman)
 
用戶端攻擊與防禦
用戶端攻擊與防禦用戶端攻擊與防禦
用戶端攻擊與防禦Taien Wang
 
大规模网站架构
大规模网站架构大规模网站架构
大规模网站架构drewz lin
 
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08drewz lin
 
Another Introduce to Redis
Another Introduce to RedisAnother Introduce to Redis
Another Introduce to Redisjiaqing zheng
 
mercury
mercurymercury
mercurymoonbingbing
 
合久必分,分久必合
合久必分,分久必合合久必分,分久必合
合久必分,分久必合Qiangning Hong
 
基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展Sky Jian
 
網站上線了,然後呢?
網站上線了,然後呢?網站上線了,然後呢?
網站上線了,然後呢?Kirk Chen
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰Scourgen Hong
 
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践Wensong Zhang
 
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012certph4nt0m
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...Wales Chen
 
Построение гиперболического параболоида
Построение гиперболического параболоидаПостроение гиперболического параболоида
Построение гиперболического параболоидаbekkermankn
 

More Related Content

Similar to 恶意域名识别与分析 -董靖.pdf

滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ NisraOrange Tsai
 
一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程WASecurity
 
淘宝主备数据库自动切换
淘宝主备数据库自动切换淘宝主备数据库自动切换
淘宝主备数据库自动切换mysqlops
 
分布式爬虫
分布式爬虫分布式爬虫
分布式爬虫mysqlops
 
MySQL自动切换设计与实现
MySQL自动切换设计与实现MySQL自动切换设计与实现
MySQL自动切换设计与实现orczhou
 
主库自动切换 V2.0
主库自动切换 V2.0主库自动切换 V2.0
主库自动切换 V2.0jinqing zhu
 
用戶端攻擊與防禦
用戶端攻擊與防禦用戶端攻擊與防禦
用戶端攻擊與防禦Taien Wang
 
大规模网站架构
大规模网站架构大规模网站架构
大规模网站架构drewz lin
 
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08drewz lin
 
Another Introduce to Redis
Another Introduce to RedisAnother Introduce to Redis
Another Introduce to Redisjiaqing zheng
 
合久必分,分久必合
合久必分,分久必合合久必分,分久必合
合久必分,分久必合Qiangning Hong
 
基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展Sky Jian
 
網站上線了,然後呢?
網站上線了,然後呢?網站上線了,然後呢?
網站上線了,然後呢?Kirk Chen
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰Scourgen Hong
 
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践Wensong Zhang
 
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012certph4nt0m
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...Wales Chen
 
Построение гиперболического параболоида
Построение гиперболического параболоидаПостроение гиперболического параболоида
Построение гиперболического параболоидаbekkermankn
 

Similar to 恶意域名识别与分析 -董靖.pdf (20)

滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
 
一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程
 
淘宝主备数据库自动切换
淘宝主备数据库自动切换淘宝主备数据库自动切换
淘宝主备数据库自动切换
 
分布式爬虫
分布式爬虫分布式爬虫
分布式爬虫
 
MySQL自动切换设计与实现
MySQL自动切换设计与实现MySQL自动切换设计与实现
MySQL自动切换设计与实现
 
主库自动切换 V2.0
主库自动切换 V2.0主库自动切换 V2.0
主库自动切换 V2.0
 
Linux system security
Linux system securityLinux system security
Linux system security
 
用戶端攻擊與防禦
用戶端攻擊與防禦用戶端攻擊與防禦
用戶端攻擊與防禦
 
大规模网站架构
大规模网站架构大规模网站架构
大规模网站架构
 
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
 
Another Introduce to Redis
Another Introduce to RedisAnother Introduce to Redis
Another Introduce to Redis
 
mercury
mercurymercury
mercury
 
合久必分,分久必合
合久必分,分久必合合久必分,分久必合
合久必分,分久必合
 
基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展
 
網站上線了,然後呢?
網站上線了,然後呢?網站上線了,然後呢?
網站上線了,然後呢?
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
 
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践
 
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
 
Построение гиперболического параболоида
Построение гиперболического параболоидаПостроение гиперболического параболоида
Построение гиперболического параболоида
 

恶意域名识别与分析 -董靖.pdf

  • 1. 恶 意 域 名 识 别 与 分 析
  • 2. cirrusgate.com 1 预 测 发 现 未 知 威 胁 的 能 力
  • 4. cirrusgate.com 3 发 现 未 知 威 胁 , 你 需 要 一 条 线 索
  • 5. cirrusgate.com 4 n f c x h x d t t c . c n
  • 6. cirrusgate.com 5 n f c x h x d t t c . c n 2015年 6月 21日 - 内 网 DNS 解 析 请 求
  • 7. cirrusgate.com 6 Conficker • 随机生成 50,000 个域名/天 • 110 个TLD • 随机尝试连接 500 个/天 • 随机生成 250 个域名/天 • 5 个TLD • 尝试连接所有域名 . A . D 2 0 0 8 年 1 1 月
  • 8. cirrusgate.com 7 n f c x h x d t t c . c n 192.168.20.157 域 名 解 析 请 求 DNS 日 志 终 端 Z 跟 踪 线 索 定 位 威 胁 CSIRT 检 测 确 定 Conficker 感 染
  • 9. cirrusgate.com 8 线 索 异 常 文 件 行 为 流 量 应 用 数 据 分 析 引 擎 发 现 未 知 威 胁 , 你 需 要 一 条 线 索
  • 10. cirrusgate.com 9 线 索 与 威 胁 情 报 Domain Name Object nfcxhxdttc.cn 更 多 信 息 逐 步 加 入
  • 11. cirrusgate.com 10 域 名 生 成 算 法 DGA 用 于 C&C 联 络 qnqgkouekldintl.net eppgftqgclxcnpk.biz rosfjxmtnwxynff.ru fqrfedivfwsseom.org spvkivucmxqfcee.co.uk grukdbqeexlychh.info tqxjhfmrpjlvjih.com hswjckithjgpays.net ugywcyndspvscaq.biz vtxlfehkkmeikgx.ru vhbvbifsvbqjcws.org wuakenyanxyybtr.co.uk wiebagnbucjpceq.info Cryptolocker il6ytoywktgp8xv3ve1j3av1v.net t5rr78orl5hw12yheez187kkui.com 9x8t00yk5xhfaw0s0a149r2xk.biz knvqi4fh8yyx13dja5p10mwpww.com gcsqzp1nybe4ssw2hzrwructz.com 1qtkve01cjzsju1hvcsi9d4mmvv.org tqms0g1rr25lmsf61hhseu3jc.com ch9quv19fwudc1l4755d3anvbg.org 4czl1m1iarfcz1o4ssl6cz3eb6.biz dvs9mfhuhphv1jxw4ovdwqv7r.net dbz9th1udt7i310igjatir5c85.com e5pfzy16huhygttl5w0sj3wky.net 2dn4pf1fqa6ivsqm2vx19j9knh.biz Gameover Zeus
  • 12. cirrusgate.com 11 杀毒软件合法回传样本特征 16-0.19-a3000000.10082.1644.976.3ea3.410.0.6bq4kprjdsbmpkj2kvtanwl1db.avts.mcafee.com DNS 隐 蔽 隧 道 上 传 关 键 数 据 上传关键数据的线索 dacsjmxlt7p53j8p775hc.nam9hi6nqcc4j6e6wo7d25.56.85h5.com onmg5rfhnrvam7554qxue5p55n.9i9jpu9uc96ovgbpebog8up69a.56.nbgtr.com x8p3ux2hao7ngoi9vrinr445k8.l2os599igokrhlire5uiofx2oa.56.vcxde.com FrameworkPOS木马上传信用卡数据 [Unique ID].beacon.[Encoded IP].[Encoded Hostname].[C&C Server].[TLD] [Unique ID].alert.[Encoded App Name].[C&C Server].[TLD] [Unique ID].[Encoded Credit Card Data].[Encoded Credit Card Data].[C&C Server].[TLD]
  • 14. cirrusgate.com 13 采 用 混 淆 手 法 的 钓 鱼 域 名
  • 15. cirrusgate.com 14 利 用 TXT 记 录 下 载 指 令 和 payload Updating Of Malicious Code Patterns Using Public DNS Servers United States Patent US8171467
  • 16. cirrusgate.com 15 恶 意 域 名 作 为 线 索 • 符 合 语 言 习 惯 • 容 易 记 忆 • 有 语 义 特 征 • 使 用 记 录 符 合 通 常 习 惯 • 时 间 长 , 使 用 稳 定 • 难 以 发 音 阅 读 • 无 法 记 忆 • 内 容 无 意 义 • 恶 意 使 用 记 录 的 特 征 明 显 • 创 建 时 间 短 , 使 用 不 频 繁 正 常 异 常
  • 17. cirrusgate.com 16 企 业 内 发 现 恶 意 域 名 的 价 值 极 高 • 直 指 被 入 侵 设 备 • 发 现 未 能 防 御 的 未 知 威 胁 • 关 联 性 和 及 时 性 完 胜 信 誉 库
  • 18. cirrusgate.com 17 基 于 已 知 特 征 的 信 誉 库 的 实 际 效 果 如 何 ?
  • 19. cirrusgate.com 18 B i t . l y 对 流 行 信 誉 库 的 实 际 测 试 恶 意 网 址 识 别 率 14 % 28 %
  • 20. cirrusgate.com 19 自 然 语 言 处 理 机 器 学 习 数 据 挖 掘 利 用 先 进 技 术 在 海 量 D N S 数 据 中 发 现 恶 意 域 名
  • 21. cirrusgate.com 20 • N-grams • Random Forest • Levenshtein Distance • 自 有 算 法 库 • C 4 . 5 • Adaboosting • Word Segmentation 算 法 组 合 与 特 征 选 取
  • 22. cirrusgate.com 21 发 现 异 常 域 名 就 结 束 了 吗 ? 4000万 某 省 2 4 小 时 唯 一 域 名 数 量 发 现 异 常 域 名 数 量 60万
  • 23. cirrusgate.com 22 帮 助 安 全 人 员 更 好 地 使 用 线 索 : 恶 意 域 名 分 类 分 析
  • 24. cirrusgate.com 23 ~100 4000 万 某 省 2 4 小 时 唯 一 域 名 数 量 发 现 异 常 域 名 数 量 60万 异 常 域 名 分 类 线 索 数 量 级 要 降 到 安 全 人 员 可 以 分 析
  • 25. cirrusgate.com 24 发 现 DNS 隐 蔽 信 道 下 载 payload • TXT 记 录 长 度 有 限 , 需 要 多 次 查 询 才 能 拼 接 payload • 同 一 终 端 频 繁 发 送 同 源 恶 意 域 名 解 析 请 求 • 自 动 批 量 查 询 同 源 恶 意 域 名 组 TXT 记 录 • 是 否 存 在 多 个 下 载 数 据 长 度 超 过 1 0 0 字 符 情 景 • 与 正 常 记 录 不 同 的 字 符 使 用 组 合
  • 26. cirrusgate.com 25 • 计 算 节 点 横 向 扩 展 配 置 简 单 • 算 法 和 规 则 库 升 级 快 速 便 捷 高 性 能 嵌 入 式 易 扩 展 • 单 线 程 性 能 : > 2 0 万 条 / 秒 • 模 块 化 嵌 入 SIEM 、NGFW 、AV 、Sandbo x 等 • 小 型 化 、轻 资 源 消 耗 应 用 场 景 广 泛 才 能 成 功
  • 27. cirrusgate.com 26 • 拼 音 和 数 字 域 名 (360 、51 、kaixin001) • 白 名 单 的 稀 缺 和 不 可 靠 • 缺 少 可 供 机 器 学 习 的 国 内 样 本 • 不 规 范 的 域 名 滥 用 现 象 (xshzzxx.net ) • 易 用 的 人 机 交 互 界 面 产 品 化 中 的 工 程 难 点
  • 28. cirrusgate.com 27 复 杂 的 域 名 生 态 环 境 : 经 验 与 知 识 的 积 累 cdn.marketplacecontent.windowsphone.com.nsatc.net www.update.microsoft.com.nsatc.net login.passport.com.nsatc.net v4windowsupdate.microsoft.nsatc.net eds-anon.xboxlive.com.nsatc.net r.msn.com.nsatc.net clientconfig.microsoftonline-p.net.nsatc.net advertising.microsoft.com.nsatc.net mobileads.msn.com.nsatc.net login.live.com.nsatc.net
  • 29. cirrusgate.com 28 应 对 高 级 DGA 算 法 带 来 的 新 挑 战 live app update login ser vice mobile account PayPal + + manager apis content checking sh0p transfer statement repor t customer c1ient feedback transaction fraud secure
  • 30. cirrusgate.com 29 那 些 来 不 及 讲 的 … • 实 时 阻 断 与 警 告 • 与 其 它 来 源 线 索 交 叉 定 位 入 侵 • 揭 示 入 侵 路 径 和 时 间 • 威 胁 情 报 生 产 • 安 全 服 务