发现和跟踪僵尸网络解析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
北京大学计算机科学技术研究所
僵尸网络危害
分布式拒绝服务攻击
2004年6月份-Akamai关键域名服务器被僵尸网 络DDoS 在线讹诈 抓取电子邮件地址、打开Open Relay服务、发 送垃圾邮件 在线银行账号/密码,信用卡信息,注册码,在线 游戏账号/装备
8
发送垃圾邮件
从僵尸主机上收集敏感信息
4
北京大学计算机科学技术研究所
项目组目前研究工作
蜜网维护及攻击案例分析
结合第三代蜜网技术和honeyd虚拟蜜罐工具 “利用蜜网技术深入剖析互联网安全威胁”2005年全国计算机大会 重点针对僵尸网络
恶意软件的捕获与分析
蜜网数据分析与可视化研究
网络环境信息获取工具NetEye 攻击数据统计分析与可视化工具 基于多源数据融合框架的攻击态势评估技术研究
北京大学计算机科学技术研究所
北京大学计算机科学技术研究所
发现和跟踪僵尸网络
诸葛建伟 狩猎女神项目组 The Artemis Project
北京大学计算机科学技术研究所
内容
狩猎女神项目组 僵尸网络概述 发现僵尸网络 跟踪僵尸网络 总结与进一步工作
2
北京大学计算机科学技术研究所
狩猎女神项目组
恶意软件捕获器mwcollect
针对主动攻击漏洞传播的恶意软件(包 括僵尸程序) 模拟RPC DCOM、LSASS等知名漏洞 对主动攻击漏洞恶意软件注入的 shellcode进行分析,获取恶意软件传 播使用的URL 通过URL获取恶意软件样本
15
北京大学计算机科学技术研究所
其他的僵尸程序来源
HoneyClient-客户端蜜罐技术 能够根据给定的控制信道信息连入僵尸网 络,并隐蔽地对僵尸网络活动进行跟踪和 审计的蜜罐僵尸工具 同时跟踪多个僵尸网络 Honeybot原型系统:python + irc client lib
19
北京大学计算机科学技术研究所
僵尸网络控制服务器分布
北京大学计算机科学技术研究所
僵尸网络的基本网络结构
9Hale Waihona Puke Baidu
北京大学计算机科学技术研究所
僵尸程序的定义特性
一对多控制关系 僵尸程序与其他恶意软件的区别
传播性 可控性 (1对多)可 控 窃密性 有 危害等级 完全控制,高 可控传播
僵尸程序
后门
蠕虫 Spyware 病毒
不具备
主动传播 被动传播 用户干预
控制服务器host/port 连接口令 加入的频道名/频道口令 用户名和昵称的结构 – CHN|xxxxx? 沙箱: sandbox.norman.no 蜜网在线攻击分析技术 逆向工程技术
17
方法
北京大学计算机科学技术研究所
跟踪僵尸网络
北京大学计算机科学技术研究所
HoneyBot
僵尸网络跟踪工具
100-200 7%
21
北京大学计算机科学技术研究所
一个典型的僵尸网络规模增长情况
7000 6000 5000 4000 3000 2000 1000 0 2:53:19 3:53:18 4:53:18 5:53:18
22
北京大学计算机科学技术研究所
使用mIRC跟踪僵尸网络
23
北京大学计算机科学技术研究所
跟踪到的僵尸网络扫描活动
24
北京大学计算机科学技术研究所
The Artemis Project
北京大学计算机科学技术研究所
项目组简介
蜜罐和蜜网技术研究组
北京大学计算机研究所信息安全工程研究中心
Honeynet Research Alliance中国唯一团 队- Chinese Honeynet Project 项目组网站: www.honeynet.org.cn 项目组邮件列表:artemis@icst.pku.edu.cn HoneynetCN邮件组: groups.yahoo.com/group/honeynetcn <<电脑安全专家>>2005年7月份非常话题 专栏
5
北京大学计算机科学技术研究所
僵尸网络概述
北京大学计算机科学技术研究所
僵尸网络起源
Eggdrop bot: 1993 良性Bot工具: Spiders, … 恶意Bot工具
DDoS攻击工具: 1999年11月 Subseven 2.1 IRC Bot: GTBot、SdBot 结合蠕虫传播机制: Agobot/Gaobot, rBot/Spybot P2P Bot: Phatbot
13
行为监测法
蜜罐捕获法
北京大学计算机科学技术研究所
僵尸程序的传播方式
主动攻击漏洞
攻击漏洞,通过shellcode注入僵尸程序 与蠕虫主动传播方式结合:Agobot, rBot
邮件病毒 即时通讯软件: MSN性感鸡 恶意网站脚本 特洛伊木马
14
北京大学计算机科学技术研究所
其他国家 15%
法国 2% 意大利 3% 大中华 3% 韩国 3% 瑞士 3% 英国 4% 加拿大 4% 澳大利亚 5% 德国 7% 荷兰 8% 美国 43%
20
北京大学计算机科学技术研究所
僵尸网络规模分布
5K-10K 8% >10K 3% <10 15%
1K-5K 23%
10-50 12%
50-100 10% 500-1K 10% 200-500 12%
(1对1)可控
一般没有 一般没有 一般没有
有
没有 有 没有
完全控制,高
网络流量,高 信息泄漏,中 感染文件,中 10
北京大学计算机科学技术研究所
IRC僵尸程序的基本活动步骤
11
北京大学计算机科学技术研究所
发现僵尸网络
北京大学计算机科学技术研究所
如何发现僵尸网络?
IDS方法
必须充分了解僵尸程序,提取指纹信息作为IDS 检测的特征 僵尸程序行为模式:快速连接控制信道、长时间 在线发呆、… 通过部署蜜罐对僵尸程序进行捕获-样本 通过对网络行为进行监视和分析-僵尸网络控制 信道信息
International mwcollect Alliance
共享捕获的恶意软件样本资源 Panda Software Sandbox.norman.no
与反病毒厂商的样本交换
公开的恶意软件分析报告资源
16
北京大学计算机科学技术研究所
僵尸程序样本分析
任务-获取僵尸网络控制信道信息
北京大学计算机科学技术研究所
僵尸网络危害
分布式拒绝服务攻击
2004年6月份-Akamai关键域名服务器被僵尸网 络DDoS 在线讹诈 抓取电子邮件地址、打开Open Relay服务、发 送垃圾邮件 在线银行账号/密码,信用卡信息,注册码,在线 游戏账号/装备
8
发送垃圾邮件
从僵尸主机上收集敏感信息
4
北京大学计算机科学技术研究所
项目组目前研究工作
蜜网维护及攻击案例分析
结合第三代蜜网技术和honeyd虚拟蜜罐工具 “利用蜜网技术深入剖析互联网安全威胁”2005年全国计算机大会 重点针对僵尸网络
恶意软件的捕获与分析
蜜网数据分析与可视化研究
网络环境信息获取工具NetEye 攻击数据统计分析与可视化工具 基于多源数据融合框架的攻击态势评估技术研究
北京大学计算机科学技术研究所
北京大学计算机科学技术研究所
发现和跟踪僵尸网络
诸葛建伟 狩猎女神项目组 The Artemis Project
北京大学计算机科学技术研究所
内容
狩猎女神项目组 僵尸网络概述 发现僵尸网络 跟踪僵尸网络 总结与进一步工作
2
北京大学计算机科学技术研究所
狩猎女神项目组
恶意软件捕获器mwcollect
针对主动攻击漏洞传播的恶意软件(包 括僵尸程序) 模拟RPC DCOM、LSASS等知名漏洞 对主动攻击漏洞恶意软件注入的 shellcode进行分析,获取恶意软件传 播使用的URL 通过URL获取恶意软件样本
15
北京大学计算机科学技术研究所
其他的僵尸程序来源
HoneyClient-客户端蜜罐技术 能够根据给定的控制信道信息连入僵尸网 络,并隐蔽地对僵尸网络活动进行跟踪和 审计的蜜罐僵尸工具 同时跟踪多个僵尸网络 Honeybot原型系统:python + irc client lib
19
北京大学计算机科学技术研究所
僵尸网络控制服务器分布
北京大学计算机科学技术研究所
僵尸网络的基本网络结构
9Hale Waihona Puke Baidu
北京大学计算机科学技术研究所
僵尸程序的定义特性
一对多控制关系 僵尸程序与其他恶意软件的区别
传播性 可控性 (1对多)可 控 窃密性 有 危害等级 完全控制,高 可控传播
僵尸程序
后门
蠕虫 Spyware 病毒
不具备
主动传播 被动传播 用户干预
控制服务器host/port 连接口令 加入的频道名/频道口令 用户名和昵称的结构 – CHN|xxxxx? 沙箱: sandbox.norman.no 蜜网在线攻击分析技术 逆向工程技术
17
方法
北京大学计算机科学技术研究所
跟踪僵尸网络
北京大学计算机科学技术研究所
HoneyBot
僵尸网络跟踪工具
100-200 7%
21
北京大学计算机科学技术研究所
一个典型的僵尸网络规模增长情况
7000 6000 5000 4000 3000 2000 1000 0 2:53:19 3:53:18 4:53:18 5:53:18
22
北京大学计算机科学技术研究所
使用mIRC跟踪僵尸网络
23
北京大学计算机科学技术研究所
跟踪到的僵尸网络扫描活动
24
北京大学计算机科学技术研究所
The Artemis Project
北京大学计算机科学技术研究所
项目组简介
蜜罐和蜜网技术研究组
北京大学计算机研究所信息安全工程研究中心
Honeynet Research Alliance中国唯一团 队- Chinese Honeynet Project 项目组网站: www.honeynet.org.cn 项目组邮件列表:artemis@icst.pku.edu.cn HoneynetCN邮件组: groups.yahoo.com/group/honeynetcn <<电脑安全专家>>2005年7月份非常话题 专栏
5
北京大学计算机科学技术研究所
僵尸网络概述
北京大学计算机科学技术研究所
僵尸网络起源
Eggdrop bot: 1993 良性Bot工具: Spiders, … 恶意Bot工具
DDoS攻击工具: 1999年11月 Subseven 2.1 IRC Bot: GTBot、SdBot 结合蠕虫传播机制: Agobot/Gaobot, rBot/Spybot P2P Bot: Phatbot
13
行为监测法
蜜罐捕获法
北京大学计算机科学技术研究所
僵尸程序的传播方式
主动攻击漏洞
攻击漏洞,通过shellcode注入僵尸程序 与蠕虫主动传播方式结合:Agobot, rBot
邮件病毒 即时通讯软件: MSN性感鸡 恶意网站脚本 特洛伊木马
14
北京大学计算机科学技术研究所
其他国家 15%
法国 2% 意大利 3% 大中华 3% 韩国 3% 瑞士 3% 英国 4% 加拿大 4% 澳大利亚 5% 德国 7% 荷兰 8% 美国 43%
20
北京大学计算机科学技术研究所
僵尸网络规模分布
5K-10K 8% >10K 3% <10 15%
1K-5K 23%
10-50 12%
50-100 10% 500-1K 10% 200-500 12%
(1对1)可控
一般没有 一般没有 一般没有
有
没有 有 没有
完全控制,高
网络流量,高 信息泄漏,中 感染文件,中 10
北京大学计算机科学技术研究所
IRC僵尸程序的基本活动步骤
11
北京大学计算机科学技术研究所
发现僵尸网络
北京大学计算机科学技术研究所
如何发现僵尸网络?
IDS方法
必须充分了解僵尸程序,提取指纹信息作为IDS 检测的特征 僵尸程序行为模式:快速连接控制信道、长时间 在线发呆、… 通过部署蜜罐对僵尸程序进行捕获-样本 通过对网络行为进行监视和分析-僵尸网络控制 信道信息
International mwcollect Alliance
共享捕获的恶意软件样本资源 Panda Software Sandbox.norman.no
与反病毒厂商的样本交换
公开的恶意软件分析报告资源
16
北京大学计算机科学技术研究所
僵尸程序样本分析
任务-获取僵尸网络控制信道信息