Identificação Automática de Servidores C&C e Identificação de Variantes de Malwares Bashlite e Mirai.

A Internet das Coisas apresenta uma grande quantidade de dispositivos distribuídos ao redor do mundo, e o baixo padrão de segurança de parte desses dispositivos tem sido explorado por agentes maliciosos para compor botnets. O impacto dessas botnets pode ser reduzido por operadores de rede bem informados, bloqueando o acesso aos servidores de Comando e Controle e criando defesas contra novos mecanismos de ataque e disseminação. Neste artigo, estendemos ferramentas existentes em um arcabouço para a detecção de servidores CeC e classificação de malwares em grupos similares. Utilizamos análises estáticas e dinâmicas em combinação com heurísticas para a indicação de endereços CeC, e teoria de grafos para o agrupamento de binários por similaridade. Em nossos resultados, o algoritmo de agrupamento consegue concentrar os binários em poucos grupos, direcionando os esforços dos operadores de rede, enquanto as análises e heurísticas propostas ampliam a identificação de CeCs ao mitigar contramedidas implementadas pelos desenvolvedores de malware.