MalConn 系统上线

MalConn上线说明


MalConn 来由:

随着反病毒技术的发展,各类引擎、对照扫描、在线沙箱、URL检测、whois查询、CC查询等各种信息安全技术与查询接口被越来越多的用户普遍认知与应用,多维度检测技术的提升与信息的开放促使信息安全技术进行了新一轮的洗牌;基于主机的反病毒安全已不再是各家反病毒厂商的主打方向,更多的转向面向服务、面向企业、面向网络的互联网整体安全。基于主机安全的信息特点使不同的信息之间形成了孤岛,这样的单独信息已不能适应目前的信息安全发展要求,所以各种不同信息的关联与整合成为了信息安全必不可少的基石。

如上所述,基于这种考虑,360网络安全研究院决定部分开放我们的MalConn系统,希望对security community能提供一些帮助,能够更大化提供多维度信息共享,与不同信息安全组织间充分的协同联动。

目前综合信息整合中,最具有代表性的以VirusTotal平台综合信息显示为主,但其关联性的显示仍不够直观。MalConn拟直观的显示信息关联关系,剔除冗余,在第一版本中暂以sample、IP、domain三者的互相关联并以表的形式展现,在第二版本中会拓展出网络流量包、家族查询等各种可关联信息并以图的形式进行更直观的展现。

MalConn 规模:

截至到2016年9月8号,在MalConn中已收录的信息数量如下:

  • 网络请求事件25.4亿
  • 网络数据包信息17.6亿
  • 已标注C&C数量62万

MalConn 特点:

  • 差异化的样本集:在海量样本中主要收录具有网络行为的黑/灰样本
  • 剔除冗余信息:
    • 将域名在Alexa top 10000中的所有相关样本剔除,排除过度的干扰
    • 未显示样本静态信息与本地主机行为,关键放在网络行为关联
  • 网络请求时序回放:还原网络请求时序,更好的再现网络行为
  • 多维数据关联:信息以样本、IP、域名、家族、数据包等不同维度互相关联组合
  • 信息快捷查询:信息之间可关联跳转查询,方便快捷

注:多维数据关联中的家族、数据包等拟在第二版本中体现。

MalConn 比较:

以样本c3e6b47ecfa2c53b1743edbc7d97dd4b为例进行比较:

a. VirusTotal显示主机信息详尽,但网络信息简捷:

b. MalConn还原网络请求时序,充分显示各信息的关联关系:

MalConn 介绍:

a. 通过样本进行查询:

  • 样本MD5:d51dbfd77af131de65a87523c26feb82

  • 鼠标点击Server标签项中的任意项,可关联跳转到对应查询。

  • 鼠标点击IP标签项中的任意项,可关联跳转到对应查询。

  • 将以上三个表的关联关系以图的形式表现:

b. 通过IP进行查询:

  • 以Bladabindi家族的IP:204.95.99.26为例,可查询到大量未知样本与域名,经验证关联出的样本均属Bladabindi家族。

  • 将上表的关联关系以图的形式表现:

c. 通过域名进行查询:

  • 以Bladabindi 家族的域名:kwhacker157.no-ip.org为例,同样可关联出大量同族样本。

  • 将上表的关联关系以图的形式表现:

MalConn 举例:

在进行一些案例分析中,也可以通过MalConn找到对应的分析线索,例如APT攻击中的方程式病毒 Equation(Equation报告链接),通过Equation 中的一个域名:timelywebsitehostesses.com 可以关联出新的未知样本。

  • 将上表的关联关系以图的形式表现:

注:第一版本以表的形式展现,第二版本将加入以图的形式展现。