Anderson 视角
保护基于Twitter的Botnet命令和控制服务器,使用神经网络

中国的研究人员利用神经网络的“黑盒”性质,提出了一种新方法,使恶意botnet能够通过Twitter与其命令和控制(C&C)服务器进行通信,这种方法无法被安全研究人员暴露,并且可能使得关闭他们的操作变得更加困难。
更新的论文于8月2日发布,题为DeepC2:基于OSN的AI驱动的隐蔽botnet命令和控制。
该方法在Twitter上进行了测试,训练一个神经网络来识别由C&C实体控制的Twitter账户,基于其Twitter用户图标。一旦神经网络“认证”了命令账户,隐藏在其看似无害的推文中的命令就可以被感染botnet的计算机执行。

来源:https://arxiv.org/abs/2009.07707
botnet是一组被破坏的计算机,可以被集中控制的恶意行为者用于执行各种类型的群体网络攻击,包括DDoS攻击、加密货币挖掘和垃圾邮件活动。
C&C匿名性之争
botnet“管弦乐队”中的每个被破坏的计算机都需要来自恶意软件起源者的集中方向,因此需要以某种方式与C&C服务器进行通信。然而,这传统上意味着安全研究人员能够逆向工程个别botnet感染并暴露C&C服务器的URL,这些URL通常被硬编码到感染中。
一旦恶意C&C域名被知道,就可以在网络级别阻塞它,并调查其起源以采取法律行动。
近年来,C&C服务器的趋势已经从专用http域名转向使用流行的Web服务,例如Gmail、Twitter、在线剪贴板服务和各种在线社交网络(OSN)。
2015年,Hammertoss恶意软件后门使用Twitter、GitHub和云存储服务;2018年,远程管理工具(RAT)HeroRat使用Telegram消息协议;2020年,Turla Group的ComRAT恶意软件使用Gmail作为通信框架。
然而,这些方法仍然需要某种识别信息被硬编码到感染软件中,使其可以被安全举措发现,尽管通常需要一些困难。在这种情况下,恶意命令的可解释性和用户ID的识别可以使这些渠道被关闭,通常会禁用依赖的botnet。
秘密标识符
中国研究人员提出的DeepC2方法使得C&C识别信息的逆向工程几乎变得不可能,因为代码只会显示一个不透明的神经网络算法,不能轻易地以高度优化(即有效的“编译”)的形式重新实现。
在DeepC2下,bot通过寻找具有高级特征的特定用户头像(在趋势话题中,因此bot不需要浏览所有Twitter)来定位“botmaster”,这些特征被编码到其神经网络中。恶意软件作者在活动部署之前选择合适的图标图片,并在神经网络上进行训练。派生的特征向量和神经网络本身作为恶意有效载荷的一部分进行分发。
当C&C服务器发布新命令时,C&C服务器背后的指导手选择一些Twitter上的趋势话题(或正在被利用的社交网络),并生成看似普通的社交媒体帖子,这些帖子包含嵌入的命令。话题的热度将帖子推到可发现的突出位置,因此bot可以通过爬行社交网络轻松访问新命令。

DeepC2工作流程
为了防止检测,每个Twitter图标和关联的账户在DeepC2下只被用作一次C&C机制,系统在此事件后移动到一个新鲜的预先确定的C&C OSN句柄。此外,bot在使用后删除识别C&C头像的向量信息,以进一步阻碍法医安全方法的重放。
混淆C&C命令
作为进一步的混淆,DeepC2包括一种方法来防止Twitter消息中显式命令的检测,使用哈希碰撞和增强的数据增强(EDA),后者基于2019年Protago Labs Research的工作,与Dartmouth College和乔治城大学合作。
哈希碰撞发生在两个不同的数据具有相同的校验和时,即每个不同的数据在配置文件中是数学等价的——一种罕见的场景,可以被利用来从看似无害的文本内容中创建命令标志。
bot在被识别为C&C服务器的社交媒体输出中搜索这些预编程的哈希,基于识别的头像图标。由于C&C命令生成的推文与目标话题流有一定的上下文相关性,因此很难将其识别为异常,隐藏了帖子的意图。

增强的文本数据可能不符合语法,但Twitter(和其他社交媒体网络)上的语法不一致性有效地隐藏了这些“故障”
IP地址通过botmaster使用哈希碰撞将URL分成两个单独的哈希,然后由远程bot识别和连接成可理解的IP地址来传递给bot。

研究人员使用七个虚拟私有服务器来模拟地理位置多样化的位置。目标头像从40张手机拍摄的照片中派生出来,并在训练期间转换为向量。bot随后使用训练模型和向量数据进行了部署。
所有命令在实验中都被虚拟化的bot网络成功接收和解析,尽管有一些消息传递的冗余,因为系统不能完全确定每个特定推文的每个消息实例都会被接收到。
在反措施方面,研究人员指出,bot自动化的频率和C&C服务器迭代通过一系列帖子发布命令的方式,可能代表一种可被新型保护框架解决的可识别签名。
此外,OSN可以计算C&C头像图标中特定的视觉差异,并开发基于这些标准的警报方法。












