揭開 WORM_DOWNAD.KK /Conficker P2P 網路流量內幕
藉由資料視覺化的協助,研究人員通常能夠發掘一些原本需要長時間研究原始資料才能發現的秘密。只要找對方向,我們也能解開 WORM_DOWNAD.KK 的內部運作。這篇文章主要探討其 P2P 通訊頻道的運作。
在下圖當中,我們將網路來源封包檔案的每一個 IP 位址 (來源與目的地) 對應到一個網格。每一個 IP 位址都拆成四個數字 (A.B.C.D)。然後在圖中的四條垂直線上標出這四個數字對應的點。四個數字 (A.B.C.D) 與四條垂直線的對應順序為從左至右 (垂直線的零點在上,數值 255 在下)。然後再將四個點用直線連起來。線的顏色代表起始點座落的數值範圍。綠色代表 0-64,藍色代表 65-128,粉紅色代表 129-192,黃色代表 193-255。每一張圖代表一小時的網路流量資料。
下圖顯示一個未遭到感染的正常辦公室區域網路一小時的網路流量。圖上的線條依然清晰可辨,甚至可以循線推測出其位址 (同一個位址如果出現多次流量,仍然只佔一條折線):
圖 1: 正常區域網路的一小時網路流量
然而 WORM_DOWNAD.KK 的流量圖就顯得非常有意思。下圖是某個感染了 WORM_DOWNAD.KK 的系統所呈現的一小時網路流量。第一張與第二張圖有很明顯的差異。從圖上可清楚看出惡意程式的 IP 選擇演算法呈現複雜的 IP 分佈,幾乎涵蓋所有可能的位址。
圖 2: 感染 WORM_DOWNAD.KK 的一小時 P2P 網路流量
還有一點是 WORM_DOWNAD.KK 避開了一些 IP 範圍。據我們所知,WORM_DOWNAD.KK 內含一個 /8 CIDR (不分級網域間路由) 範圍排外名單,也就是 P2P 流量不會到達的區域。(/8 代表 IP 位址僅有第一個數字「A」有意義)。這些 P2P 通訊所不會掃瞄的 /8 範圍分別為:0、1、2、5、10、14、23、27、31、36、37、39、42、46、49、50、100-109、127、175-185、191、197 以及 223–255。我們可以在圖中第一條線上看到四個明顯的黑色縫隙。這些縫隙與我們已知的範圍相當吻合:0-5 (頂端)、100-109 (藍色)、175-85 (粉紅色) 以及 223-255 (底部)。如果將綠色區段 (0-64) 放大顯示,我們可以看出這區段的線條比其他顏色稍微鬆散,這也大致符合我們攔截清單的分佈情形。
