僵尸网络的威胁和应对措施 [周勇林]

僵尸网络的威胁和应对措施国家计算机网络应急技术处理协调中心

周勇林

2005年3月25日桂林

摘要第一部分

•背景和概念

•功能原理

•危害

第二部分

•案例分析

•措施

一背景

网络安全领域的三大威胁：•蠕虫（Worm）

•分布式拒绝服务攻击（DDos）•垃圾邮件（Spam）

事例

BotNet

历史可追溯到90年代，第一个Unix环境下的Bot是1993年的Eggdrop Bot。自从1999年11月出现的SubSeven 2.1木马成功地运用IRC协议控制感染SubSeven木马的主机之后，人们意识到采用IRC协议进行Bot的控制是一种高效安全的途径，从此,IRC协议和Bot经常携手出现。目前，主要的Bot都运行在Windows系统下。但直到2004年初才引起重视。原因是利用BotNet发送Spam和进行DDos攻击的事件越来越多，Bot的种类也迅速增加。让我们简单回顾几个利用BotNet的案例：•2003爆发的Dvldr(口令)蠕虫，是第一个大面积迅速传播并利用IRC BotNet 控制已感染机器的蠕虫。•2004年，美国最大的家庭宽带ISP Comcast被发现成为互联网上最大的垃圾邮件来源，Comcast的用户平均每天发送的8亿封邮件中，有88％是使用存在于Comcast内的BotNet发送的垃圾邮件。•2004年7月来自英国路透社的报导指出，有一个由青少年人组成的新兴行业正盛行：「出租可由远程恶意程序任意摆布的计算机」，这些受控制的计算机称之为”僵尸（Zombie ）”计算机。数目小自10部大到3万部，只要买主愿意付钱，它们可以利用这些僵尸网络(BotNet)，进行垃圾邮件散播、网络诈欺(phishing)、散播病毒甚至拒绝服务攻击，代价仅需每小时100美元。

•2004年9月挪威ISP Telenor 察觉某IRC 服务器已成为1万多台个人计算机组成的BoeNet 的指挥中心后，关闭了该IRC 服务器。•趋势科技TrendLabs 在“2004年9月病毒感染分析报告”中指出，个人计算机成为任人摆布的僵尸计算机的机率，相较于去年9月成长23.5倍。•2004年10月网络安全机构SANS 表示，僵尸计算机已被黑客当作用来勒索的工具，若要避免服务器因DoS 而瘫痪的代价是付给黑客4万美金。年11月，根据反网钓工作小组（APWG ）的安全专家观察,网络钓鱼（Phishing ）的技术愈来愈高明，现在骗徒可运用受控僵尸系统（BotNet ）来扩大网钓范围，坐等受害者上钩。‧2004年出现的Korgo 系列、GaoBot 系列、SdBot 系列蠕虫组成的BotNet 可接受控制者指令，实施许多网络攻击行动。‧3月爆发的Witty 蠕虫，Caida 怀疑该蠕虫利用BotNet 散发，因为其初始感染计算机数目超过100台。

二基本概念

Bot:“Robot”（机器人）的简写，可以自动地执行预定义的功能、可以被预定义的命令控制，具有一定人工智能的程序。Bot不一定是恶意代码，只有实现了恶意功能的Bot才属于恶意代码。

Zombie: 含有Bot或其他可以远程控制程序的计算机叫Zombie（僵尸计算机）。

BotNet——僵尸网络:Bot组成的可通信、可被攻击者控制的网络。

Bot、Trojan horse 、Spyware、Worm、Virus的

联系与区别

传播性可控性窃密性危害级别

Bot不具备高度可控有全部控制：高

不具备可控有全部控制：高Trojan

horse

Spyware一般没有一般没有有信息泄露：中Worm主动转播一般没有一般没有网络流量：高

Virus用户干预一般没有一般没有感染文件：中

Bot类型

IRC Bot:利用IRC协议进行通信和控制的Bot。主动连接IRC聊天服务器上，接收控制命令。。

AOL Bot：与IRC Bot类似，登陆到固定的AOL服务接收控制命令。AIM-Canbot和Fizzer蠕虫就采用了AOL Instant Messager实现对Bot的控制。

P2P Bot：这类Bot采用peer to peer的方式相互通信，优点是不存在单点失效，缺点是实现相对复杂。（如phatbot）

其他：游戏Bot、售票Bot、聊天Bot、IRC管理Bot、搜索引擎Bot等良性Bot。

三IRC Bot的原理

1IRC（Internet Relay Chat）协议

•IRC是一种专门的网络聊天室应用层协议；

•客户端——服务器模式。

•多服务器之间可建立信息共享。

•IRC服务默认的端口是TCP 6667，通常也可以在6000－7000端口范围之内选择，（许多IRC Bot为了逃避常规的检查，选择443、8000、500等自定义端口）

•用户可以建立、选择和加入感兴趣的频道

•频道可以隐藏。

•支持文件传递。

IRC Bot的原理

2IRC Bot的功能

Bot可以根据接收到的控制命令执行预定义的功能，这些功能一般括：

1)、发动Dos攻击

2)、浏览系统信息

3)、终止进程

4)、攻击IRC频道或邮箱

5)、上传和下载程序

6)、代理或SMTP服务器

7)、升级Bot

8)、卸载Bot

IRC Bot的原理

3 IRC Bot的实现：其特点是模拟IRC客户端，使用IRC协议与IRC服务器通信。

现在的IRC Bot通常自己实现客户端协议，一般至少需要实现以下IRC命令：

•NICK和USER：用于标志一个用户和用户所属主机，相当于一个ID；

•PASS:设置或发送口令；

•JOIN #Channel：加入一个频道；

•MODE:修改频道模式；

•PING和PONG:维持与IRC服务器的连接，当用户空闲时，服务器向客户

•端发送PING命令，客户端回应PONG命令，参数与PING的参数相同，

•表示客户端处于存活状态；

•PRIVMSG:向一个频道或用户发送消息；

•DCC SEND:一个用户向另一个用户传送文件，等等。