僵尸网络的威胁和应对措施 [周勇林]

僵尸网络的威胁和应对措施国家计算机网络应急技术处理协调中心
周勇林
2005年3月25日桂林
摘要第一部分
•背景和概念
•功能原理
•危害
第二部分
•案例分析
•措施
一背景
网络安全领域的三大威胁：•蠕虫（Worm）
•分布式拒绝服务攻击（DDos）•垃圾邮件（Spam）
事例
BotNet
历史可追溯到90年代，第一个Unix环境下的Bot是1993年的Eggdrop Bot。

自从1999年11月出现的SubSeven 2.1木马成功地运用IRC协议控制感染SubSeven木马的主机之后，人们意识到采用IRC协议进行Bot的控制是一种高效安全的途径，从此,IRC协议和Bot经常携手出现。

目前，主要的Bot都运行在Windows系统下。

但直到2004年初才引起重视。

原因是利用BotNet发送Spam和进行DDos攻击的事件越来越多，Bot的种类也迅速增加。

让我们简单回顾几个利用BotNet的案例：•2003爆发的Dvldr(口令)蠕虫，是第一个大面积迅速传播并利用IRC BotNet 控制已感染机器的蠕虫。

•2004年，美国最大的家庭宽带ISP Comcast被发现成为互联网上最大的垃圾邮件来源，Comcast的用户平均每天发送的8亿封邮件中，有88％是使用存在于Comcast内的BotNet发送的垃圾邮件。

•2004年7月来自英国路透社的报导指出，有一个由青少年人组成的新兴行业正盛行：「出租可由远程恶意程序任意摆布的计算机」，这些受控制的计算机称之为”僵尸（Zombie ）”计算机。

数目小自10部大到3万部，只要买主愿意付钱，它们可以利用这些僵尸网络(BotNet)，进行垃圾邮件散播、网络诈欺(phishing)、散播病毒甚至拒绝服务攻击，代价仅需每小时100美元。

•2004年9月挪威ISP Telenor 察觉某IRC 服务器已成为1万多台个人计算机组成的BoeNet 的指挥中心后，关闭了该IRC 服务器。

•趋势科技TrendLabs 在“2004年9月病毒感染分析报告”中指出，个人计算机成为任人摆布的僵尸计算机的机率，相较于去年9月成长23.5倍。

•2004年10月网络安全机构SANS 表示，僵尸计算机已被黑客当作用来勒索的工具，若要避免服务器因DoS 而瘫痪的代价是付给黑客4万美金。

年11月，根据反网钓工作小组（APWG ）的安全专家观察,网络钓鱼（Phishing ）的技术愈来愈高明，现在骗徒可运用受控僵尸系统（BotNet ）来扩大网钓范围，坐等受害者上钩。

‧2004年出现的Korgo 系列、GaoBot 系列、SdBot 系列蠕虫组成的BotNet 可接受控制者指令，实施许多网络攻击行动。

‧3月爆发的Witty 蠕虫，Caida 怀疑该蠕虫利用BotNet 散发，因为其初始感染计算机数目超过100台。

二基本概念
Bot:“Robot”（机器人）的简写，可以自动地执行预定义的功能、可以被预定义的命令控制，具有一定人工智能的程序。

Bot不一定是恶意代码，只有实现了恶意功能的Bot才属于恶意代码。

Zombie: 含有Bot或其他可以远程控制程序的计算机叫Zombie（僵尸计算机）。

BotNet——僵尸网络:Bot组成的可通信、可被攻击者控制的网络。

Bot、Trojan horse 、Spyware、Worm、Virus的
联系与区别
传播性可控性窃密性危害级别
Bot不具备高度可控有全部控制：高
不具备可控有全部控制：高Trojan
horse
Spyware一般没有一般没有有信息泄露：中Worm主动转播一般没有一般没有网络流量：高
Virus用户干预一般没有一般没有感染文件：中
Bot类型
IRC Bot:利用IRC协议进行通信和控制的Bot。

主动连接IRC聊天服务器上，接收控制命令。

AOL Bot：与IRC Bot类似，登陆到固定的AOL服务接收控制命令。

AIM-Canbot和Fizzer蠕虫就采用了AOL Instant Messager实现对Bot的控制。

P2P Bot：这类Bot采用peer to peer的方式相互通信，优点是不存在单点失效，缺点是实现相对复杂。

（如phatbot）
其他：游戏Bot、售票Bot、聊天Bot、IRC管理Bot、搜索引擎Bot等良性Bot。

三IRC Bot的原理
1IRC（Internet Relay Chat）协议
•IRC是一种专门的网络聊天室应用层协议；
•客户端——服务器模式。

•多服务器之间可建立信息共享。

•IRC服务默认的端口是TCP 6667，通常也可以在6000－7000端口范围之内选择，（许多IRC Bot为了逃避常规的检查，选择443、8000、500等自定义端口）
•用户可以建立、选择和加入感兴趣的频道
•频道可以隐藏。

•支持文件传递。

IRC Bot的原理
2IRC Bot的功能
Bot可以根据接收到的控制命令执行预定义的功能，这些功能一般括：
1)、发动Dos攻击
2)、浏览系统信息
3)、终止进程
4)、攻击IRC频道或邮箱
5)、上传和下载程序
6)、代理或SMTP服务器
7)、升级Bot
8)、卸载Bot
IRC Bot的原理
3 IRC Bot的实现：其特点是模拟IRC客户端，使用IRC协议与IRC服务器通信。

现在的IRC Bot通常自己实现客户端协议，一般至少需要实现以下IRC命令：
•NICK和USER：用于标志一个用户和用户所属主机，相当于一个ID；
•PASS:设置或发送口令；
•JOIN #Channel：加入一个频道；
•MODE:修改频道模式；
•PING和PONG:维持与IRC服务器的连接，当用户空闲时，服务器向客户
•端发送PING命令，客户端回应PONG命令，参数与PING的参数相同，
•表示客户端处于存活状态；
•PRIVMSG:向一个频道或用户发送消息；
•DCC SEND:一个用户向另一个用户传送文件，等等。

IRC Bot的原理
4 Bot的传播方式
National Computer network Emergency Response technical Team/Coordination Center of China


四
1
Botnet的结构和自身安全性
BotNet的网络结构
National Computer network Emergency Response technical Team/Coordination Center of China


Botnet的结构和自身安全性
2 Botnet的生成和利用方式 以下过程展示了攻击者生成和利用Botnet的典型方式： (1)开发一个Bot或者修改、定制一个开源的Bot； (2)利用蠕虫在感染的主机上释放并运行这个Bot； (3)Bot进程运行后，以一个随机的Nickname和内置的密码加 入预定义的频道，攻击者不定时地也登陆到这个频道； (4)攻击者发送自身的认证信息，Bot认证后就等待执行该用 户（攻击者）发送的命令； (5)Bot读取发送到频道中的所有字符串，判断是否是认证的 攻击者发送的可识别的命令，是则执行。

National Computer network Emergency Response technical Team/Coordination Center of China


Botnet的结构和自身安全性
3 Botnet自身安全性 • • • • • • 动态IRC服务器 秘密频道加用户认证 控制者身份的单向认证 跳板的利用 IRC服务器、频道、口令的更新 …
National Computer network Emergency Response technical Team/Coordination Center of China


五、僵尸网络（Botnet） 的主要危害性
1、隐蔽性很强； 2、危害性巨大； 3、难以追查和清除。

• 黑客通过特定的数台控制主机，可以遥控网络中成千上万的主 • 除利用受控计算机群进行攻击外，黑客还利用控制的计算机 机从事各种攻击活动，可为其他形式的攻击提供强大支持。

这 • 受控计算机用户绝大多数都不知道自己的计算机感染 群，进行跨网甚至跨国境的各种非法活动，来隐藏自己的活 包括：大规模的拒绝服务，短时间内使重要信息系统服务瘫痪 了木马而被控制，从而毫无防范。

另外，黑客在达到 动踪迹，以躲避网络管理部门的技术调查和执法部门的查处 是随时有可能发生；发送大量垃圾邮件，传播各种有害信息； 特定目的情况下才会向所控制的机群发送命令，黑客 打击，比如隐藏蠕虫释放者和假冒(欺诈) 网页的踪迹。

这给 散播蠕虫和含恶意代码的程序对于释放蠕虫，提高蠕虫和恶意 通常也会采取一些技术和技巧来隐蔽自己的控制通道 追查安全事件背后的黑客带来很大困难。

僵尸网络往往数目 代码的扩散和传播速度；进行网页欺诈等等。

此外，由于木马 以及只有自己才能控制这个受控机群。

平时大多时 众多，如果无法架设新的控制服务器控制整个僵尸网络，那 感染目标平台是Windows 95/ 98/ME 以及Windows NT/2000/ XP 候，可以让这些受控机器处于正常状态，从而也难以 么，众多感染主机的清除起来是个长期过程。

平台，主要是个人用户，黑客还可以使感染木马而被控制的主 发现这些受控计算机的存在，可以长期潜伏。

机完全开放，重要资料泄露的隐患的危险性达到最高。

这就仿 National Computer network Emergency Response technical Team/Coordination Center of China 佛在互联网上埋伏了可操控的军队。

分布式拒绝服务（DDOS）
控制者
控制节点
... ...
僵尸网络
ICMP Flood / SYN Flood / UDP Flood
目标
National Computer network Emergency Response technical Team/Coordination Center of China


六、应对方法
(1) 终端用户：通过各种途径影响终端用户,提高网络用 户的安全意识 • 提高防范意识； • 专杀工具/及时更新杀毒软件，经常查杀病毒； • 发现有异常，将代码提供给有关方面分析。

(2)安全专业人员：提高对僵尸网络的重视，加强研究， 拿出更有针对性的技术措施。

• 如何判断DDoS和僵尸网络的关系； • 如何捣毁僵尸网络。

National Computer network Emergency Response technical Team/Coordination Center of China


案例介绍：DDOS僵尸网络
过程（一）：发现
1）接到用户报警：大量的持续的拒绝服务攻击，带宽被 严重占用。

网络讹诈？
2）按照DDOS的处理流程，找到一台攻击主机，发现木 马程序。

BotNet？
National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程（二）
(二) 代码分析：BKDR_VB.CQ木马 扫描功能； 上传\下载文件功能； 服务端版本升级； 获得服务端操作系统版本及语言，处理器型号信 息，url信息； HTTP； SMTP； …
National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程（二）
(二) 代码分析——IRC控制服务器使用动态域名

National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程（二）
动态域名解析后得到IP地址及相应源端口 216.152.*.* 212.204.*.* 64.12.*.* 207.68.*.* 61.197.*. * 218.157. *. * 221.146. *. * 219.153. *. * 6667 美国 6667 荷兰 6667 美国 6667 美国 8000 日本 韩国 韩国 重庆市
443 554 8000
攻击源（202.108.*.*）会接收来自这八个IP地址发出的 攻击 指令进行攻击。

National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程（三）
(四)重庆控制节点采集数据
在主机所有者的配合下，对BotNet和黑客的动作进行 监视。

• 截止到12曰10日受到该肇事者控制的攻击机大约有 60000多台；受到重庆控制机控制的攻击机有8000多 台，当时处于活动状态的有3712台。

• 定位黑客：IP地址为－60.2.*.*，河北某ADSL用户
National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程(四)
(五) 网络监测抽 样监测及监测 数据分析 1、共计发现 171641个 IP地址被植入 BKDR_VB.CQ木 马，其中大陆 境内156120 台。

National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程(四)
2、境外，共计15521台(2004年12月13日至2005年1月10日)
National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程(五)
向政府部门报告 • 信息产业部 • 国家信息化工作小组办公室安全组 • 公安部 CNCERT/CC配合公安机关迅速行动
National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程(六)
(六) 帮助终端用户清除BotNet木马程序 1、在CNCERT网站上免费提供了我们组织研制的查杀
有关木马的工具
/articles/tools/co mmon/2004123022037.shtml
2、发挥反病毒和个人防火墙厂商的作用，升级产品。

National Computer network Emergency Response technical Team/Coordination Center of China


事件处理过程(六)
3、总体活动趋势
National Computer network Emergency Response technical Team/Coordination Center of China


事后回顾：Botnet的形成
通过编写 “kuang2”木马客户端 程序(k2.exe)控制 互联网上大量被植 入“kuang2”木马的主 机，并将msapp.exe 投放到这些主机中.
1
2002年，掌握 一万多台受控 主机
将msapp.exe升级 为rasinf.exe, rasinf.exe中内置四个 控制指令（进行IPC漏洞 扫描和Kuang2木马扫描 ）用于控制“僵尸网络”自 动传播木马程序。

2
到2004年10月 份 ，掌握超过 五万台受控主机
升级rasinf.exe,并最终形 成ipxsrv.exe木马程序。

ipxsrv.exe木马程序的主要传播方 式是利用了社会工程学的方法,通 过“QQ尾巴病毒诱使用户访问某个 恶意页面,当存在IE漏洞的用户访 问该恶意页面时会被自动植入 ipxsrv.exe,
3
掌握超过三万 台受控主机
National Computer network Emergency Response technical Team/Coordination Center of China


CNCERT/CC如何应对？
1 加强国家已投资建设的有关技术平台对BotNet的发现和监测 能力。

2 关注互联网上出现的大规模入侵、木马活动、以及其他危害 严重的攻击行为的研究分析和监测力度,以便发现与某些 BotNet相关的攻击行为。

3 在网站上加强对BotNet危害的宣传力度,为公众提供有关流 行Bot的信息和解决方案。

4 搜集互联网上流行的Bot类恶意代码样本,联合其他应急组 织、安全厂商，加大研究分析力度，发布安全工具。

5 积极配合各有关部门,打击制作传播利用Bot的犯罪分子。

National Computer network Emergency Response technical Team/Coordination Center of China


保护网络的和谐发展！
zyl@
National Computer network Emergency Response technical Team/Coordination Center of China

。