DeepC2：基于人工智能的社交网络隐蔽命令与控制技术解析

### DeepC2：基于人工智能的社交网络隐蔽命令与控制技术解析 #### 1. 核心原理与基础策略 在社交网络（OSNs）的隐蔽命令与控制（C&C）场景中，直接在推文里传达完整的IP地址并不推荐，因为这需要大量推文才能实现成功的哈希碰撞。将IP地址拆分为两个16位部分能大幅减少计算量，而且哈希碰撞本身并非确定性事件。若碰撞失败，攻击者可通过抓取更多推文或在句子中添加更多干扰信息来解决。同时，攻击者需按顺序发布两条最终推文，以便恶意软件正确恢复IP地址。 当受感染主机无法按预期上线时，防御者可能会使用保存的头像并发布带有虚假命令的推文。为确保通信安全，建议采用如非对称密钥对的数字签名等认证方式。 #### 2. 暹罗神经网络（Siamese Neural Network） ##### 2.1 架构 暹罗神经网络（SNN）在衡量两个输入的相似度方面表现出色。它接受两个输入，分别输入到两个相同的神经网络中生成输出。这两个相同的神经网络就像“暹罗”双胞胎一样，共享相同的架构和权重。通过计算两个输出之间的欧几里得距离来衡量输入的相似度。在本研究中，这两个相同的神经网络是卷积神经网络（CNN），包含四个卷积层和三个全连接层，接受一个3通道、128像素的图像作为输入，并生成128个输出组成特征向量。 训练时使用对比损失函数： \[L = (1 - Y)\frac{1}{2}(D_w)^2 + Y\frac{1}{2}(\max(0, m - D_w))^2\] 其中，$Y$ 是分配给图像对的二进制标签（$Y = 0$ 表示图像相似，$Y = 1$ 表示不同），$D_w = \|G_1 - G_2\|$ 是向量之间的欧几里得距离，$w$ 是网络权重，$m > 0$ 是一个边界值。 ##### 2.2 训练 模型使用Python 3.6和PyTorch 1.5实现。为训练模型，从115,887个Twitter用户中抓取不同尺寸的头像，并随机选择19,137组头像构建数据集。Twitter提供4种不同尺寸的头像（48×48、73×73、200×200和400×400），随机选择400×400尺寸的头像作为输入。由于缺乏原始头像图片，使用同一用户的200×200和400×400尺寸的头像组成标签为0的输入对，标签为0和1的输入对比例为1:2。根据初步实验，欧几里得距离的阈值设置为0.02。 ##### 2.3 性能 多次进行训练过程，模型在训练期间快速收敛。经过10 - 20个周期，在测试集上达到100%的准确率。训练好的模型大小为2.42 MB。使用所有115,887个用户的头像组成验证集，共463,544对（标签为0的115,887对，标签为1的347,657对，比例为1:3）。评估显示模型准确率超过99.999%，只有2 - 4对被错误标记，且错误标记对的原始标签均为0，确保了攻击者账户的安全。 #### 3. Twitter实验 ##### 3.1 实验环境 为模拟全球受感染主机，使用7台位于不同城市（班加罗尔、多伦多、阿姆斯特丹、悉尼、东京、迪拜和弗吉尼亚）的Ubuntu 18.04 x64虚拟服务器，每台服务器配备1 GB ROM和1 vCPU。攻击者代码在旧金山的另一台相同配置的虚拟服务器上运行。恶意软件和攻击者的代码均使用Python 3.6实现。 ##### 3.2 命令与头像 准备40张手机拍摄的照片作为攻击者账户的头像，将照片裁剪为400×400尺寸，并通过训练好的模型转换为向量。恶意软件与模型和向量一同发布。在实验中，恶意软件和攻击者每小时选择一个热门话题，攻击者生成并发布推文，恶意软件在5分钟后抓取相关推文。记录攻击者完成哈希碰撞、恶意软件抓取一批推文以及开始和结束比较的时间，同时记录原始命令和恢复的命令，以便后续分析。 ##### 3.3 实验结果 使用40个头像发送了47条命令。由于频繁访问Twitter热门话题，所选话题有时会重复，但为客观评估哈希碰撞成功率，会等待下一个热门话题。所有命令均被7台主机正确接收和解析。测试期间，攻击者平均在13.8秒内完成推文收集、生成和哈希计算，哈希碰撞成功率达到90.28%。恶意软件尝试抓取1000条推文，通常能获得800 - 900条非重复推文。恶意软件需要抓取推文发布者的头像并计算距离以识别攻击者，此过程所需时间因网络和设备条件而异，抓取推文后找到攻击者的时间在5秒到4.45分钟之间。实验中，部分推文获得了Twitter用户的“点赞”，表明EDA生成的句子未引起异常，可被接受。恶意软件获取IP后，攻击者删除推文。