01典型网络安全事件的处置V1.1

Bot支持的命令集
主要是认证、升级和自删除类的命令
2. 僵尸网络的处置 ① 擒贼先擒王——模拟控制者，对僵尸网络 进行完全控制
最终解决办法：直接找到控制服务器，需要授 最终解决办法：直接找到控制服务器， 权或用户配合
方法1：发送更新命令 吃毒丸 吃毒丸) 方法 ：发送更新命令(吃毒丸 ； 方法2： 集体自杀)； 方法 ：发送自删除命令 (集体自杀 ； 集体自杀
2005年开始，僵尸网络和间谍软件、在线身份窃取一起 被作为CNCERT/CC重点关注的威胁类型
2005年CNCERT/CC发现我国超过250万台计算机 被僵尸网络控制，超过5000节点规模的僵尸网络 达到143个
不包括荷兰应急组织发现的29万个中国的IP(该僵尸网 络规模达到120万)
趋势2009的对比
相关概念
Bot：“Robot”(机器人 的简写，可以接收预定义命令和 ： 机器人)的简写 机器人 的简写， 执行预定义功能，具有一定智能的程序。 执行预定义功能，具有一定智能的程序。。Bot不一定是恶 意代码，只有实现了恶意功能的Bot才属于恶意代码。 Zombie：含有Bot或其他可以被黑客远程控制程序的计算 ：含有 或其他可以被黑客远程控制程序的计算 机都可以叫做Zombie(僵尸计算机 。 僵尸计算机)。 机都可以叫做 僵尸计算机 Command&Control Server:可以形象地将 可以形象地将IRC Bot连接的 可以形象地将 连接的 IRC服务器称为命令 控制服务器，简写为 服务器称为命令&控制服务器 服务器称为命令 控制服务器，简写为C&C S，因为控 ， 制者通过该服务器发送命令，对僵尸网络进行控制。 制者通过该服务器发送命令，对僵尸网络进行控制。 Botnet：僵尸网络，Bot组成的可通信、可被攻击者控制 ：僵尸网络， 组成的可通信、 组成的可通信 的网络。 的网络。
百度文库
五、Bot的类型
IRC Bot: 利用 利用IRC协议进行通信和控制的 协议进行通信和控制的Bot。主动连接 协议进行通信和控制的 。 IRC聊天服务器上，接收控制命令。 聊天服务器上， 聊天服务器上 接收控制命令。 AOL Bot：与IRC Bot类似，登陆到固定的AOL服务接收 ： 类似，登陆到固定的 服务接收 类似 控制命令。 蠕虫就采用了AOL 控制命令。AIM-Canbot和Fizzer蠕虫就采用了 和 蠕虫就采用了 Instant Messenger实现对 实现对Bot的控制。 的控制。 实现对 的控制 P2P Bot：这类 采用peer to peer的方式相互通信，优 的方式相互通信， ：这类Bot采用 采用 的方式相互通信 点是不存在单点失效，缺点是实现相对复杂。（ 。（如 点是不存在单点失效，缺点是实现相对复杂。（如phatbot） ） 其他：游戏 管理Bot、搜索 其他：游戏Bot、售票 、售票Bot、聊天 、聊天Bot、IRC管理 、 管理 、 引擎Bot等良性 等良性Bot。 引擎 等良性 。
知己知彼： 控制服务器信息：域名或IP、端口（port）、 连接密码(如果有)； 频道信息:频道名（channel）、频道密码(如 有)； 控制密码、编码规则和Host
控制者发送密码到频道中，用于标识身份，常 以.login pass的形式出现。编码规则和是否启用 host认证是bot程序实现的，不体现在网络通信 中。
第四阶段：接受控制
以IRC Bot为例 为例
攻击者或者是Botnet 的主人建立控制主机。 Bot 主机主动连接IRC 服务器，加入到某个特定频道。 控制者（黑客）主机也连接到IRC 服务器的这个频道上。 控制者（黑客）使用。 .login、! logon、! auth 诸如此类的命令认证自己， 服 务器将该信息转发给频道内所有的Bot 主机，Bot 将该 密码与硬编码在文件体内的密码比较，相同则将该用户 的nick 名称记录下来，以后可以执行该用户发送的命令。 控制者具有channel op 权限，只有他能发出命令。
打补丁：
手工查杀 专杀工具或升级杀毒程序
问题：如何发现 问题：如何发现BOT?
3. CNCERT／CC对僵尸网络的处置流程 ／ 对僵尸网络的处置流程
1．发现僵尸网络 ．
(1) 863-917平台发现僵尸网络 平台发现僵尸网络
CNCERT／CC(国家互联网应急中心 通过配置专门的或通用的僵 ／ 国家互联网应急中心)通过配置专门的或通用的僵 国家互联网应急中心 尸网络特征事件，可以发现僵尸网络。 尸网络特征事件，可以发现僵尸网络。发现的信息包括僵尸网络 规模、感染节点和控制服务器地址、发送的命令和状态信息等。 规模、感染节点和控制服务器地址、发送的命令和状态信息等。 数据监测和分析人员将发现的较大规模和活跃的僵尸网络列入重 点关注对象，关注该僵尸网络的规模变化、 点关注对象，关注该僵尸网络的规模变化、执行的恶意攻击和控 制方式等。 制方式等。
表 恶意代码的特点对比
类型 僵尸程序
（Bot） ）
传播性 可控传播 无 无
可控性 高度可控 可控 无 无/弱 弱 无
窃密性 有 有 严重窃取 无/弱 弱 无
危害类型 完全控制 完全控制 信息泄露 主机和网 络资源 破坏文件
木马（Trojan
Horse） ）
间谍软件
（Spyware） ）
蠕虫（Worm） 主动传播 ） 病毒（Virus） 干预传播 ）
典型的网络安全事件 处置
摘要
前言 僵尸网络的威胁和应对 网站被攻击的特点与处置 网络仿冒的概念与处置 拒绝服务攻击的概念与处置
僵尸网络的威胁与应对
僵尸网络
概念 组成 现状 危害 类型 工作原理 发现与处置 案例介绍
一、什么是僵尸网络
恶意的Botnet 简单地说，就是黑客/黑客组织秘密控制的分布在 全世界的计算机群。（“秘密”指的是被控制的计 算机主人并不知情） 僵尸网络不同于特定的安全事件，它是攻击者组建 的一个综合性的攻击平台 。利用这样的攻击平台， 利用这样的攻击平台， 攻击者可以实施各种各样的破坏行为， 攻击者可以实施各种各样的破坏行为，而且这些破 坏行为往往比传统的实施方式危害更大、防范更难。 坏行为往往比传统的实施方式危害更大、防范更难。
利用IDS监测； 监测； 利用 监测
利用具有IRC协议解析能力的IDS，可以根据IRC Bot常用 命令，如JOIN、PASS、PRIVMSG、NICK、TOPIC、 NOTICE等及其命令参数来发现未知僵尸网络。 不具有IRC协议解析功能，也可以根据TCP数据报文的内容 发现可疑僵尸网络 863－917网络安全监测平台
(2) 通过疑似样本发现的僵尸网络
CNCERT/CC(国家互联网应急中心 通过国内的应急体系、与国外 国家互联网应急中心)通过国内的应急体系 国家互联网应急中心 通过国内的应急体系、 应急组织建立的信息共享机制和用户投诉与上报等渠道获得可疑 样本。然后， 国家互联网应急中心)根据与合作单 样本。然后，CNCERT／CC(国家互联网应急中心 根据与合作单 ／ 国家互联网应急中心 位一起分析获得的结果进行有针对性监测， 位一起分析获得的结果进行有针对性监测，从而掌握该僵尸网络 的详细情况。 的详细情况。
IRC协议特 征
掌握整体信息和一些 符合已知的 特定命令信息； 监测范围内 活动 （IRC）协议 如：可以发现控制者 监测条件的网 和控制服务器之间 的bot 的信息，但缺乏报 络通信内容 文内容信息 掌握整体信息； 不适合收集具体信息
监测范围内 发现 较大规模的且 不适合收集具体 Bot行为特征 严格使用IRC 信息 协议的botnet
Figure 1: 2008-2009 PC Infection Count
Table 5: 2008-2009 PC Infection Count
四、僵尸网络的危害
蠕虫释放→ 蠕虫释放 分布式拒绝服务攻击（ 分布式拒绝服务攻击（DDoS） ） 发送垃圾邮件 窃取秘密 盗用资源 作为跳板 进一步建立其他攻击环境 地下经济的瑞士军刀
第三阶段：加入网络
以基于IRC 协议的 协议的Bot 为例， 为例， 以基于
中有域名，先解析域名， （1）如果 ）如果Bot 中有域名，先解析域名，通常采 用动态域名。 用动态域名。 主机与IRC 服务器建立 服务器建立TCP 连接。 连接。 （2）Bot 主机与 ） （3）Bot 主机与IRC 服务器发送NICK 和 ） 主机与 服务器发送 USER 命令， 命令， （4）加入预定义的频道。频道名一般硬编码在 ）加入预定义的频道。 Bot 体内，为增强安全性，有的控制者为频道 体内，为增强安全性， 设定了密码。 设定了密码。
七、僵尸网络的发现与处置
1. 发现
个人
难度取决于Bot的隐蔽程度。 的隐蔽程度。 难度取决于 的隐蔽程度
对于应急组织，现有的发现僵尸网络的方式主 对于应急组织， 要有三种： 要有三种：
利用蜜罐(Honeypot)捕获 捕获Bot样本； 样本； 利用蜜罐 捕获 样本
“honeynet project”项目
利用僵尸网络的行为特征进行监测。 利用僵尸网络的行为特征进行监测。
快速加入型bot 长期连接型bot 发呆型bot DdoSVax项目
IRC僵尸网络发现方法比较
作用范围及发现 的bot类型 HoneyPot 收集信息的类型 收集信息的粒度 很细 ，但只限于bot 收发的信息 监测点上 有感染 bot收到/发出的 传播能力的 所有消息 bot
第二阶段：感染过程
攻击程序在攻陷主机后有两种做法： 攻击程序在攻陷主机后有两种做法：
程序植入被攻陷的主机； 将Bot程序植入被攻陷的主机； 程序植入被攻陷的主机 让被攻陷的主机自己去指定的地方下载（二次注入）。 让被攻陷的主机自己去指定的地方下载（二次注入）。
Bot 程序植入被攻陷的主机，会自动脱壳。 程序植入被攻陷的主机，会自动脱壳。 在被感染主机上执行IRC 客户端程序。 客户端程序。 在被感染主机上执行 Bot 主机从指定的服务器上读取配置文件并导入恶意代码。 主机从指定的服务器上读取配置文件并导入恶意代码。 Bot 程序隐藏 程序隐藏IRC 界面， 修改 界面， 修改Windows 注册表的自启 动部分。 动部分。 Bot 程序关闭某些特定程序（bootstrap process），如防 程序关闭某些特定程序（ ），如防 ）， 火墙，系统自动更新。 火墙，系统自动更新。
条件： 条件： 掌握控制者身份认证信息
②釜底抽薪——切断用户主机和控制服务器的联 系：
方法1：网络边界上阻断 方法 ：网络边界上阻断C&C通信 通信
条件： 条件：掌握控制服务器的准确信息
方法2：取消域名，无法解析 方法 ：取消域名，无法解析;
条件： 条件：得到授权
③攘外必先安内——清除用户终端上的Bot程序，
(3) 在事件应急响应过程中追查僵尸网络
在处理安全事件时会发现一些线索， 在处理安全事件时会发现一些线索，比如大量攻击源发起的 DDoS攻击。通过对这些攻击源的取证，也可以发现僵尸网络。 攻击。 攻击 通过对这些攻击源的取证，也可以发现僵尸网络。
2．僵尸网络的分析和取证 ．
对于危害严重的僵尸网络， 对于危害严重的僵尸网络，需要到监测发现的感染节点机上取 对样本进行详细分析。如果控制服务器位于国内， 证，对样本进行详细分析。如果控制服务器位于国内，需要到 服务器上取证，以发现黑客线索、僵尸网络实际规模、 服务器上取证，以发现黑客线索、僵尸网络实际规模、被利用 主机的情况、控制服务器的配置方法等。掌握这些实际情况， 主机的情况、控制服务器的配置方法等。掌握这些实际情况， 有利于推断那些没有条件取证的僵尸网络的相关情况。 有利于推断那些没有条件取证的僵尸网络的相关情况。 CNCERT／CC(国家互联网应急中心 在全国有 个分中心，分 国家互联网应急中心)在全国有 个分中心， ／ 国家互联网应急中心 在全国有31个分中心 中心在现场取证中发挥着重要作用。通常，需要在哪个省取证， 中心在现场取证中发挥着重要作用。通常，需要在哪个省取证， 就由哪个省分中心执行该工作。 就由哪个省分中心执行该工作。 对于取证发现黑客线索，需要酌情追踪。 对于取证发现黑客线索，需要酌情追踪。黑客来源和控制服务 器很可能位于不同的省或国家，黑客也经常是动态IP用户。此 器很可能位于不同的省或国家，黑客也经常是动态 用户。 用户 需要CNCERT／CC(国家互联网应急中心 省分中心协调当 国家互联网应急中心)省分中心协调当 时，需要 ／ 国家互联网应急中心 地运营商，定位该动态IP用户真实的地理位置和上网时间等信 地运营商，定位该动态 用户真实的地理位置和上网时间等信 息。 在很多情况下， 平台上监测、 在很多情况下，在863—917平台上监测、分析样本、取证三者 平台上监测 分析样本、 同步进行，以相互验证并提高效率。 同步进行，以相互验证并提高效率。 在明确了该僵尸网络的工作机理之后， 在明确了该僵尸网络的工作机理之后，CNCERT／CC(国家互 ／ 国家互 联网应急中心)将立即制定出控制该僵尸网络的方案 将立即制定出控制该僵尸网络的方案。 联网应急中心 将立即制定出控制该僵尸网络的方案。
六、僵尸网络的工作原理
复杂 按BotNet生命周期的不同阶段加以介绍 生命周期的不同阶段加以介绍
传播过程 感染过程 加入网络 再传播过程） （再传播过程） 接受控制
第一阶段：传播过程
攻击者通过各种传播方式使得目标主机感染 僵尸程序； 僵尸程序； 主要传播方式： 主要传播方式：
攻击漏洞 邮件携带 即时消息通讯 恶意网站脚本 伪装软件
二、僵尸网络的组成
Zombie/Bot：被植入木马的“僵尸机群”; Controller：一个或者多个控制控制服务器; Herder：控制者
三、僵尸网络发展迅速
刚开始，主要是小规模
2003年口令蠕虫建造的僵尸网络达到数万节点
2004年底至2005年1月，CNCERT/CC发现一个规 模超过十几万的僵尸网络