僵尸网络的最新发展

僵尸网络的最新发展
孙栩
【摘要】最近几年"僵尸网络"的危害愈演愈烈,它的类型包括IRc B0t、AOL Bot 和P2P Bot等,而且正在进行着更加快速的演变.但僵尸网络的结构并没有太大的变化,其典型利用方式基本可以分为五个步骤.而僵尸网络的主流发展趋势就是不断利用系统插件、新的文件格式和Web2.0系统进行传播.但只要注意在网络和主机两个层面进行全方位的防范,"僵尸网络"依然是可控的.
【期刊名称】《铁道警官高等专科学校学报》
【年(卷),期】2010(020)006
【总页数】4页(P24-27)
【关键词】僵尸网络;文件格式
【作者】孙栩
【作者单位】铁道警官高等专科学校,警察管理系,河南郑州450053
【正文语种】中文
【中图分类】D631
(一)原理
僵尸网络是指采用一种或多种传播手段,将大量主机感染Bot程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。

之所以用僵尸网络这个名
字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同
中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

BotNet是目前发起拒绝式服务攻击的主要手段,而且也是制造垃圾邮件的罪魁祸首。

比如最普遍的拒绝服务攻击步骤是:
首先,新的客户端加入预先设定的IRC通道并对命令进行监听;
然后,控制者通过命令系统发送到IRC服务器;
接着,所有BotNet客户端通过IRC通道取得这条命令;
随后,所有BotNet客户端对指令设定的目标发动拒绝服务攻击;
最后,BotNet客户端向控制者汇报指令执行的情况。

从这个事例我们可以看出僵尸网络的优势:控制者不会做出任何的攻击行为,发起攻
击的计算机和服务器都不是控制者本身的机器,控制者要做的只是要注意隐藏自己
发送命令的通道信息。

攻击结束之后控制者也可以很方便地切断和所控制的Bot2 Net客户端连接的通路并删除客户端内部的日志文件从而使其置身事外,而从受害
计算机反向追踪到控制者是很困难的,而且信息随时都可能被销毁。

(二)名词解释
Bot:机器人英文简写,可以自动地执行预先设定的程序,可以被预定义的指令操纵,拥有一定AI的程序。

它不一定是恶意代码,只有用来实现恶意功能的Bot才是恶意代码。

BotNet(僵尸网络):Bot组成的可通信、可被攻击者控制的网络。

(三)Bot类型
IRCBot:利用IRC协议进行通信和控制的机器人。

主动连接至IRC服务器上,随时准备接收控制者的命令。

AOLBot:登录到美国在线的AOL服务器随时接收控制命令。

游戏Bot、聊天室Bot、管理Bot、雅虎谷歌等搜索引擎的Bot等良性Bot。

Bot并不是天生就是恶意程序,它的出现是为了给计算机用户进行辅助性的操作,使用户摆脱一些繁琐重复性的劳动。

初期的Bot是出现在IRC聊天服务中的,它和IRC服务器的出现都是在上世纪80年代末期。

因为当时技术的限制,直到上世纪末,第一个基于IRC服务器的蠕虫病毒才出现,它可以通过Bot对IRC服务器进行远程操控。

它已经具有现代Bot的大部分功能,如:获得机器本身信息、窃取账户和密码信息、静默式更新、DDos、上传下载文件等功能。

而本世纪初出现的新型Bot突破了IRC的界限,不但可以通过IRC服务对主机进行控制,还会自动搜寻其他方面的漏洞如有名的RPC服务漏洞,进行攻击,然后把该主机加入僵尸网络中。

这使其防御起来更加困难了。

(一)BotNet网络结构
上图中最右边的为控制者的主机或服务器,中部为IRCserver,左边是多个受控Bot 的主机。

(二)它的生成和利用方式
生成和利用BotNet攻击的最基本方式:
第一步:制作或者修改一个Bot;
第二步:在感染木马病毒的计算机或服务器上运行这个Bot;
第三步:当Bot进入内存进程后,以设定的昵称和原始密码进入事先准备好的频道,攻击者也会随时登录它;
第四步:攻击者向Bot进行控制身份认证,Bot经过核实然后进入预备状态,等待该控制者发出命令后进行预先设定的攻击;
第五步:Bot截取已核实为控制者发送的所有信息,如果该信息为攻击命令则开始攻击。

僵尸网络组建了一个进行攻击和控制Bot的复杂的平台,通过该平台能够用控制Bot的方法发起多种类全方位的攻击行为,导致大面积的基础公众网和银行、交通
等重要系统的崩溃,而且能够造成国家机密、科研机密、商业机密以及个人隐私被
他人掌握,同时也可以被网络诈骗等违法犯罪活动利用。

以下介绍的是已经广泛应
用的僵尸网络用来发动的攻击性行为。

(一)Dos
使用僵尸网络发动拒绝服务攻击是目前最广泛运用的攻击方式之一,攻击者能够给
本身所操纵的任何Bot发送指令,让它们在某些预先设定的时间内一齐连续地向指
定的网络主机或服务器发送访问请求,能够有效地进行拒绝服务攻击。

由于僵尸网
络可以通过木马病毒的方式传播以增加Bot的数量,所以它的规模可以无限扩大,而且通过僵尸网络进行的拒绝服务攻击有很好的同步性,所以它所进行的拒绝服务攻
击会有更大的破坏力,而且更加难以防范。

(二)非法利用资源
僵尸网络被攻击者用来进行大量网络资源的消耗活动,降低用户的网络带宽等各项
性能,还会造成经济上的损失;它常常被用作散播广告性软件,通过该软件,被控制者的浏览器自动进入某些商业性网站从而使控制者赚取广告费;它可以控制主机使主机
在不知情的情况下存储非法数据。

(三)窥视隐私和盗取账号
僵尸网络的控制者可以从Bot中窥探用户的个人隐私和各种关键信息,如用户账号、密码、银行卡号等。

而且病毒程序可以用sniffer等数据截取工具来探测对自己有
利的网络流量数据,以便获得网络流量中的秘密。

(四)发送垃圾邮件
Bot可以通过开通sockv4和sockv5代理来利用僵尸网络发送大量的垃圾邮件,而且控制者也能够通过简单的步骤隐藏本身的IP地址。

2009年,互联网上新出现的僵尸网络的攻击手段更加多样化。

僵尸网络的控制在空间上的距离和范围也分布得更加广阔。

新技术的产生很好地增强了僵尸网络的的效
率以及机动性。

更多的正常企业和公司的网站被僵尸网络攻击,影响到了它们的核心竞争力,甚至被盗取了商业机密。

最近出现的僵尸网络的攻击一般采用管理程序技术。

管理程序技术是一种模仿计算机系统的管理程序使得操作系统无法识别的工具。

管理程序可以对很多主机上的CPU和资源进行操纵。

虽然所有操作系统都会显示本身的CPU和资源,但是攻击者的计算机或者服务器对它的控制却无法显示出来。

下面是最新的几种僵尸网络的技术。

(一)BHO控件的利用
BHO控件也成为最新的僵尸网络的突破口。

Object,是MS公司于1999年底发布的IE对第三方编程人员开放交互式接口的标准。

第三方程序通过它可以用自创代码响应接收IE的事件,用来获得IE行为和组件的信息,甚至进一步控制IE的行为。

该控件其实也是IE扩展接口组件,其本质仍然是动态链接库。

它和其他接口组件的区别是其他的扩展接口要用到某些用户的手动操作,如单击菜单、工具条上的按钮,输入网页地址等触发性的动作才会被浏览器加载,而该控件不同,当浏览器启动的时候, BHO就会被浏览器加载而无需任何条件来触发它。

另外该控件还可以监视浏览器的各类消息。

浏览器劫持就是利用了这个漏洞,本质上就是指引浏览器通过一条错误的路线的现象。

恶意程序通过该控件来修改用户的IE,使得用户从普通的网页跳转到恶意网页,一般用户在受害的同时无法察觉。

IObject2 WithSite和IDispatch是该控件的扩展接口,其中IObjectWithSite是用来获得IE控制权的接口,而IDispatch接口则是用来监听IE的事件的接口。

这种方法也常常被应用于用BHO控件来控制僵尸网络,它们的区别是过去的僵尸网络是用Bot控制其他主机,而这种方法是用BHO插件来控制其他主机。

但BHO控件之间不具备传染性,它的端口和进程都无需打开,随浏览器的打开而启动,有很强的隐蔽性。

一般来说防火墙都无法阻止它的进入并且没有任何提示,普通的计算机使
用者就更加不会注意。

当被攻击者的机器被攻击者植入带有BHO插件木马的病毒后,BHO进入到IE中,然后和IE绑定在一起,无时无刻不控制着IE,从而使其变成攻击傀儡群中的一分子。

控制者现在要做的就是把其他恶意代码放到已被完全操纵的计算机傀儡群中,由刚被植入BHO插件木马的傀儡群来自动下载,然后发出攻击指令。

至此,整个僵尸网络链构建成功。

(二)音频格式文件的利用
此外,还有很多过去认为无法跟僵尸网络产生关系的程序或者文件也慢慢沦为僵尸利用的武器。

如音频文件过去一般认为都是可靠的。

但是我国微机病毒应急处理中心于2008年8月31日上午宣布,在例行的对互联网信息内容的监测中最新发现一种蠕虫病毒,它能够感染电脑系统中的音频文件(如wma等),计算机使用者需小心防范。

专家称,该蠕虫并没有破坏被感染的音频信息文件让其无法正常播放,而是会使该音频信息文件所存放的系统主动登录指定的网页服务器来下载木马和病毒等恶意程序,最后使得该计算机系统成为网络僵尸的一员。

(三)PDF格式文件的利用
同样的命运最近也降临在PDF格式的文件身上。

4月初防病毒网站已经发出警告说有控制者利用PDF文件的内部漏洞,将特定的恶意程序加入到PDF的内部信息中,然后利用邮件来散布,当用户打开该PDF文件的时候,便会被加入病毒木马等程序以扩大僵尸网络的范围。

控制者所利用的就是计算机安全研究人员于3月底找到的PDF的缺陷。

因为PDF文件格式允许用户嵌入各种内容,如视频、音频等,而且PDF文件格式中的Launch功能能够用来执行应用程序,这就使得控制者可以利用其相关功能在PDF中加入恶意代码。

不过从严格意义上来说这个问题并不是安全漏洞,只是PDF格式的一种功能。

对于这个发现,Adobe公司表示,这次事件说明了不当使用某些功能会带来潜在的风险,该公司会发布最佳解决方案并且通过更新来进行修补。

不过,在其还未进行更新时,就已经有控制者运用以上的方法来进行恶
意代码的嵌入,已经有很多PDF文件的使用者受害,被植入了Zeus僵尸网络程序。

在美国已经有超过300万台电脑被Zeus感染,它最主要的用途是盗取使用者计算
机中的机密和隐私信息,这是至今第一个利用PDF文件漏洞来扩展势力范围的僵尸网络。

(四)Web2.0网站的感染
越来越多的文件格式成为僵尸网络的传播方式,更令人担忧的是,最近几年才发展起
来的Web 2.0网站也成了重灾区。

僵尸网络对web2.0网站在2009年间进行了
大量的攻击和操纵。

Twitter、谷歌阅读等服务器都曾经被用做垃圾邮件发起攻击
的页面,因为它们可以用来来逃脱电子邮件的地址筛选。

最近一段时间,谷歌的很多
服务器主机都曾经被用来作为僵尸网络代理服务器以便操控各主机; 2009年底有
专家指出,Zeus僵尸网络入侵并破坏亚马逊云操控的服务。

这些主流论坛被用来发布混合编码指令,以便在全球范围散播僵尸网络。

不管是初期的各种Bot的客户端,还是现在的运用各种挂木马等方式进行工作的新
型的僵尸网络,要想做到对于它们的全面彻底的防御,就必须通过结合网络和主机的
各种防护手段,实现各个层次的防御。

(一)网络层面
不管是老式的Bot程序还是最新的僵尸网络的通信,都必须通过各个端口来实现。

绝大部分的Bot都使用端口6667和其他数值较大的端口(比如31856和65432)。

大于1024号的所有端口应该设置为禁止Bot程序进入,除非你确定有特殊的应用
程序要用到某个特定的端口,即使这样,你也应该对这个端口制定严格的通信政策如“只在某些时间打开”。

僵尸网络常常是在早上7点之前发布命令或者升级的,因为这个时候进行工作很少
会被人发现。

所以要养成在每天第一次登录计算机就查看系统日志的习惯,如果你
发现在没有人上网的情况下却有浏览网页等异常活动,就应该立刻着手进行检查。

(二)主机层面
从主机层面来说,选择的安全产品必须有多重的防御手段,要做到不成为僵尸网络的客户端。

该主机客户端要包含以下的功能:防火墙——用来阻断饱和式攻击和非法的链接,杀毒软件——消灭后门、木马等病毒程序。

还要有对系统及时更新补丁的习惯。

实际上系统资源占用量过大是实现桌面安全客户端的难点问题。

由于安全功能的多重性,企业类的用户一般会使用两个或多个厂商的安全类产品,通常情况下这样会造成冲突、占用较多的资源和使得管理方式复杂化,而且各个厂商的安全产品之间会存在一些技术上的间隙,能使蠕虫、木马等恶意程序乘虚而入。

僵尸网络并不是牢不可破的。

面对僵尸网络的威胁,我们应该从网络和主机这两个层面来着手解决,而这两个层面所采用的安全产品和安全技术要能够阻断僵尸网络攻击和传播的每一条途径,这样就能够阻止僵尸网络的危害,构造良好的网络环境,提高互联网的安全性。

Abstract:In recent years,botnet has becom ingmore and more harm ul.Its types inc lude IRC BOT,AOL BOT and P2PBOT,etc.It is changing faster and faster,but its structure hasnot changed a lot.Itcan used basi2 cally by five step s.Them ain trend of botnet is to sp read by keep ing using system p lugs-in,new file form ats and W EB2.0 system.So long aswe pay attention to the all-around guard atnetwork and host,we can control the bot2 net. Keywords:botnet;harm;new type;file form at
【相关文献】
[1]纵鑫,李玉德.“僵尸网络”的危害、特点及新型控制方式[J].法制与社会,2008,(12下).。