僵尸网络的检测与对策

僵尸网络的检测与对策
院系：软件学院
专业：网络工程
0901 郭鹏飞
学号：200992389
1.关于僵尸网络
僵尸网络（botnet）是指通过各种传播手段，在大量计算机中植入特定的恶意程序，将大量主机感染僵尸程序病毒，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。

攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。

起名为僵尸，很形象地揭示了这类危害的特点：众多的计算机在不知不觉中如同僵尸一般驱赶和指挥着，成为被人利用的一种工具。

◆僵尸网络中涉及到的概念：
bot程序：rebot的缩写，指实现恶意控制功能的程序。

僵尸计算机：指被植入bot的计算机。

控制服务器（Control Server）：指控制和通信的中心服务器，在基于IRC 协议进行控制的僵尸网络中，就是指提供IRC聊天服务的服务器。

DDoS 攻击：利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。

◆僵尸网络特点：
首先，是一个可控制的网络，这个网络并不是具有拓扑结构的网络，它具有
一定的分布性，新的计算机会随着bot程序的传播，不断被加入到这个网络
中。

其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，
邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行僵尸网络的传播。

最后，僵尸网络的最主要的特点，就是可以一对多地执行相同的恶意行为，
比如可以同时对某目标网站进行DDos攻击，同时发送大量的垃圾邮件等，
这一特点使得攻击者能够以较低的代价高效地控制大量的资源为其服务。

◆Bot程序的传播途径：
主动攻击漏洞。

邮件病毒。

即时通信软件。

恶意网站脚本。

特洛依木马。

僵尸网络的工作过程包括传播、加入和控制三个阶段。

在传播阶段之后，将进入加入阶段。

在加入阶段，每一个被感染主机都会随着隐藏在自身上的
bot程序的发作而加入到僵尸网络中去。

在IRC协议的僵尸网络中，感染bot
程序的主机会登录到指定的服务器和频道中，登录后，该主机会在在频道中
等待控制者发来的指令。

在控制阶段，攻击者通过中心服务器发送预先定义
好的控制指令，让被感染主机执行恶意行为，如发起DDos攻击、窃取主机
敏感信息、更新升级恶意程序等。

僵尸网络的控制方式包括：IRC僵尸网络、AOL僵尸网络、P2P僵尸网络等。

而bot程序可分为以下几类：Agobot/Phatbot/Forbot/XtremBot、
SDBot/RBot/UrBot/SpyBot、GT-Bots等。

2.僵尸网络的检测
僵尸网络的检测从检测原理上来说，大致可以分为三类方法：
行为特征统计分析
bot行为仿真以监控
流量数据特征匹配
行为特征统计分析：
僵尸网络是一种恶意行为，拥有僵尸网络的人会有意隐藏服务器的基本信息，如连入的用户数、可见的用户数、服务器内所建立的频道等。

由于加入到僵尸网络的服务器中的nickname是由bot程序生成，所以这些bot 的nickname 应符合一定的生成算法，符合某种规律，这些规律可以从得到的bot
源码中发现并总结出来。

这些用户的 nickname的规律性和正常的IRC Server中的
nickname的随意性不同。

由于僵尸网络中的感染bot程序的主机是被动控制的，所
以在没有僵尸网络控制者指令的条件下是不会有所行为的。

僵尸网络在传播和准备发起攻击之前，都会有一些异常的行为，如发送大量的DNS查询、发送大量的连接请求等等。

综上所述，可供统计的一些异常行为包括：IRC服务器隐藏信息、长时间发呆、昵称的规律性、扫描、频繁发送大量数据包、大量陌生的DNS查询、发送攻击流
量、发送垃圾邮件、同时打开大量端口、传输层流特征、包大小、特定的端口号。

bot行为仿真及监控：
利用主动式和被动式蜜罐系统获取Bot程序样本，监控Bot主机的传播方式和通讯方式，从而得到僵尸网络的行为特征，包括感染行为：驻留系统的模式、安装
文件、修改文件、修改注册表、对系统进程和函数的调用、键盘操作记录、对系统
服务和网络服务的控制。

传播行为包括：扫描、漏洞的利用。

通信行为包括：IP
地址、端口号、协议特征、命令。

对代码特征的分析包括：加壳与脱壳、Shellcode、特征指令序列、文件片段。

对日志的关联分析：系统日志、IPS攻击日志、流量信
息记录。

常用的分析方法包括：沙箱法(一种按照安全策略限制程序行为的执行环
境)和蜜网在线信息收集法(常见的系统监控程序包括SEBEK、入侵检测系统)
流量数据特征匹配：
采用流量数据特征匹配方法，必须充分了解僵尸程序，提取指纹信息作为IDS 检测的特征。

传统的IDS系统都是关注入流量，并查找点对点的入侵企图的恶意
特征。

NIDS系统具有检测初始的方向入侵企图。

但是从这些海量的入侵告警记录
中找到被感染的主机是非常困难。

为了解决这个问题，入侵告警关联可以使分析人
员获得对告警事件流的更概括的解释。

这里着重介绍下BotHunter软件，BotHunter管理器是一个基于IDS驱动的会话管理技术的具体实现。

它是由Snort驱动的，它利用了Snort’s 特征引擎的全部
优势，合并了一个恶意软件特征的大的集合，可以产生由探索漏洞活动所引起的对
话告警，代码下载、以及C&C 的服务模式。

BotHunter 管理器还包括了两个Bot
特征异常检测插件：SLADE 和SCADE。

SLADE对某种协议的字节分布差异进行
分析，这种差异代表通常的入侵行为。

SCADE 对流入和流出流量执行并行且互补
的端口扫描分析。

BotHunter 关联器将入方向的扫描和入侵告警与出方向嫌疑比较大的已感染主机的通讯模式关联。

如果发现有足够多的告警序列与BotHunter 模型匹配，则生
成一个完整报告，涵盖所有相关的事件和参与会话的感染主机。

BotHunter有4种工作模式：
1. LIVEPIPE，默认模式：直接输入BotHunter [configure][shutdown][status]会进
入这个模式的文件夹执行。

2. LIVEFILE，实时文件模式：Snort先将log存入实时文件，BotHunter再对
该log文件进行处理。

3. BATCH，批处理模式：离线处理已经保存好的snort日志文件，可以批处
理。

4.INLINE，在线模式：直接读网络数据进行检测，结果会存到bhProfiles.txt
中。

3.防治僵尸网络的对策
1.采用Web过滤服务
Web过滤服务是迎战僵尸网络的最有力武器。

这些过滤服务扫描Web站点的不正常行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。

Websense及
Cyveillance等公司的工具都可以实时地监视互联网，并查找从事恶意或可疑活动的站点，如下载JavaScript或执行screen scrapes等正常Web浏览之外的其它可疑操作。

2.转换浏览器
防止僵尸网络感染的另一种策略是采用微软的Internet Explorer或Mozilla的Firefox之外的浏览器。

这两者是最流行的浏览器，但正因为如此，恶意软件作者们通常也乐意为它们编写代码。

同样的策略也适用于操作系统，据统计，苹果操作系统、桌面Linux操作系统用户很少受到僵尸网络的侵扰，这是因为大多数僵尸程序的作者都把目标指向了流行的Windows操作系统。

3.禁用脚本
一个极端的措施是完全地禁用浏览器的脚本功能，但需要注意的是，有时候这会不利于工作效率，特别是在使用了定制的、基于Web的应用程序时更是如此。

4.部署入侵检测和入侵防御系统
应调整IDS(入侵检测系统)和IPS(入侵防御系统)，使之可以检测具有僵尸主机特征的活动。

例如，重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑
的。

此外还有一些典型特征，如一个机器中SSL通信的突然上升，特别是在某些端口上更是这样，这就可能表明一个僵尸控制的通道已经被激活了。

5.限制用户生成的内容。

Web开发人员应避免无意成为恶意软件犯罪的帮凶，在其网站程序中应该严格控制用户生成的内容，在不影响网站功能的前提下给与用户最小的权限。

6.使用补救工具
如果发现了一台被感染的计算机，那么一个临时应急的重要措施就是如何进行补救。

像Symantec等公司都宣称，他们可以检测并清除即使隐藏最深的rootkit感染。

其它的反病毒厂商也都试图保护系统免受rootkit的危害，如McAfee 和FSecure等。

McAfeeLab的研究人员通过在McAfee入侵防护系统中加入各种新的安全技术，从而实现了对于僵尸网络的全面网络防护，下图给出了该系统防护Torpig的方式:
对应于Torpig僵尸网络的感染途径，该系统可以起到以下作用。

步骤1：属于正常的Web访问，无需阻断；
步骤2：通过McAfee入侵防护系统的漏洞保护功能，阻断Torpig通过iframe方式修改用户的浏览器；
步骤3：仍属于正常的Web访问，无需阻断；
步骤4：通过McAfee入侵防护系统的Artemis云安全技术，检测并阻断服务器下发的Rootkit和恶件，避免该桌面机成为僵尸网络客户端；
步骤5：属于IRC通信，无需阻断；
步骤6：通过McAfee入侵防护系统的Artemis云安全技术，检测并阻断服务器下发的TorpigDLL，避免浏览器注入等攻击；
步骤7：通过McAfee入侵防护系统的行为检测技术，检测并阻断每20分钟的上传窃取信息到TorpigC&C服务器上；
步骤8：通过McAfee入侵防护系统的行为检测技术，检测并阻断TorpigC&C服务器下发的配置文件；
步骤9：属于正常的Web访问，无需阻断；
步骤10：文件传输，无需阻断。

通过这一方式，McAfeeLab研究人员成功地切断了Torpig僵尸网络的关键传播途径，即服务器端发起对客户端的攻击、服务器端下发Rootkit和恶件以及僵尸网络客户端和C&C服务器的信息传输，从而实现了在网络层对于Torpig等僵尸网络的防护。

但是也有专家认为事后进行的检测和清除成效甚微，往往真正的僵尸代码还驻留在计算机上，因此保持一台计算机绝对安全干净、免受僵尸程序感染的最好方法还是对原有的系统彻底清除，并重新开始安装系统。