發現隱藏在偽造的Flash更新中的持續威脅

因為我們最近高產了不少自己覺得還不錯的技術blog，這次介紹的文章依然還是來自於我們團隊，「The continuous threat of malware hiding in fake Adobe Flash updates」，講講利用我們的域名聲望系統（DRS）自動化發現一些持續威脅。這篇文章用惡意Flash播放器更新這個例子解決自動威脅發現里的另外一個問題：威脅情報的自動擴展更新。

多數系統里和DNS相關的威脅情報都是利用第三方安全公司標記並匹配到DNS解析記錄判斷惡意域名，這些方法的問題在於，DNS的數據分析並不貢獻威脅情報。與此同時，惡意軟體作者的對抗方法是啟動新域名來繞開這些已標記的報廢域名，往往新域名投入使用比第三方安全公司標記更快，導致了好人彙報了而壞人早就打一槍換個地方了。常用的方法是，壞人購買幾個IP設置惡意服務，用多個域名指向這幾個IP，若干天或若干小時更換一批域名，比如這篇blog里說到的惡意偽造Flash更新，就是使用多個域名保證持續威脅。

為了解決類似這樣的動態問題，我們的域名聲望系統（Domain reputation system簡稱DRS）對全網的所有查詢過的域名及他們的相關信息建立拓撲圖，並通過圖演算法尋找這些動態變化的域名並檢測惡意軟體作者的對抗行為。我們接收多個第三方安全公司標記的惡意域名／IP，把他們放到這個拓撲圖DRS系統里，系統根據這些情報在圖中行走（walking），結合一些圖的演算法以及半監督學習的遷移方法等，可以把這些安全情報動態擴展到未知可疑域名上，並自動提供阻斷依據。

自動情報擴展對現在惡意軟體快速變化的趨勢很重要，比如文中說到的偽造惡意flash更新的域名生命周期只有幾天，某安全廠商彙報了其中幾個域名，DRS根據其指向IP等其他信息跟蹤他們在DNS查詢數據里的動向，找到了很多未彙報的新惡意域名，比其他安全廠商的發現速度提早了幾個小時到幾天。

DRS系統的工程實現也是一大挑戰。它記錄並實時更新全網所有的DNS查詢域名及相關信息，以拓撲圖的形式記錄之間的關聯並運行圖演算法，節點數為億級，邊數為十億級別，其緩存層的設計和拓撲圖+演算法實現的設計都比較挑戰，希望以後我有機會寫一下。

總結一下，這篇文章用發現偽造惡意flash更新為例介紹DRS系統對於威脅情報的自動發現和自動擴展，解決了現在惡意行為喜歡打一槍就跑以為自己跑的很快抓不住的問題。DRS系統厲害之處並不盡於此，它是一個神奇的動態威脅情報機器。

題圖來自於Free picture: grass, cute, animal, nature, cat, young, feline, kitten 遵循非商業使用原則。

大家好，這是「安全數據與機器學習」專欄的第八篇文章。這個專欄配合我們的小密圈／知識星球群組「安全數據與機器學習」和我們的blog專欄 Kakapo - 一個機器學習社區 ，給各位安全屆的朋友提高鍛煉數據建模和機器學習的知識。我們會不定期尋找一些優秀的文章，在這裡寫上摘要和導讀，引導大家前去深入學習。如果想參與「安全數據與機器學習」的討論，請下載「知識星球」app並搜索「安全數據與機器學習「或者點擊 http://t.xiaomiquan.com/IIqZV7Y 接受邀請。