3-僵尸网络原理与检测技术

• 发送垃圾邮件(m)
•
• 窃取秘密
•
• 滥用资源
•
僵尸网络案例分析
一、全球最大垃圾邮件 源头Rustock僵尸网络 被关闭 二、河北黑客操控六万 台电脑制造僵尸网络 攻击案
全球最大垃圾邮件源头Rustock • Rustock僵尸网 络是由一群受到病 毒感染的电脑组成 的国际网络，多年 来它每天要发送几 十亿个垃圾电子邮 件，在网上推销未 经当局许可的配方 和廉价壮阳药。
攻击者
僵尸主机
僵尸主机 僵尸主机 僵尸网络
被攻击服务器
• p2p僵尸网络没有固定服务器做主机，分散式主机。 • P2P僵尸网络或者使用已存在的P2P协议，或者使用自定 义的 P2P协议。 • 由于 P2P 网络本身具有的对等节点特性，在 P2P僵尸网 络中不存在只充当服务器角色的僵尸网络控制器 ,而是由 僵尸程序同时承担客户端和服务器的双重角色。每个僵尸 主机(节点)接受攻击者的命令时扮演的是客户端角色。同 时 ,它把接收到的命令传播到其它节点，这时扮演的是服 务端角色。 • 僵尸主机中又分为两种：一种是有公网IP，另一种没有公 网IP。没有公网IP的主机只能做被控主机。
• •
• •
僵尸网络出现原因
• 僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑 客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海 量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行 帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不 论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极 具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注 的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、 隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不 知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。 • 对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿 的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但 事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载 有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可 以发号施令，对电脑进行操控。下载时只用一种杀毒软件查不出来。
僵尸网络的分类
僵尸网络主要由攻击者、僵尸主机、命令与控 制信道构成。 通过命令与控制信道的类型对僵尸网络进行分 类： (1) 使用中心服务器的僵尸网络，主要有基 于IRC的僵尸网络；(2) 不使用中心服务器的僵
尸网络，主要是基于P2P 的僵尸网络。
•
IRC通信控制方式 即攻击者在公共或者私密的IRC聊天服务器中开 辟私有聊天频道作为控制频道，僵尸程序在运行 时会根据预置的连接认证信息自动寻找和连接这 些IRC控制频道，收取频道中的控制信息。攻击 者则通过控制频道向所有连接的僵尸程序发送指 令。
• P2P通信方式 以上两种方式，如果中心服务器被发现而断掉，整个僵尸 网络就垮掉了，所以出现了第三种僵尸网络。 该类僵尸网络中使用的程序本身包含了P2P的客户端，可 以连入采用了Gnutella技术的服务器，利用WASTE文件 共享协议进行相互通信。由于这种协议分布式地进行连接， 就使得每一个僵尸主机可以很方便地找到其他的僵尸主机 并进行通信，而当有一些僵尸主机被发现时，并不会影响 到僵尸主机的生存，所以这类的僵尸网络具有不存在单点 失效但实现相对复杂的特点。Agobot和Phatbot采用了 P2P的方式。
僵尸网络原理与检测
根据互联网公开资料整理-曾剑平
目录 一、定义 二、网络特点 三、出现原因 四、发展历程 五、工作原理 六、网络危害形式 七、案例分析
僵尸网络定义
• 中文名称：僵尸网络 • 英文名称：botnet • 定 义：通过各种手段在大量计算机中植入 特定的恶意程序，使控制者能够通过相对集中 的若干计算机直接向大量计算机发送指令的攻 击网络。攻击者通常利用这样大规模的僵尸网 络实施各种其他攻击活动。
• HTTP协议的命令与控制
– 由于用IRC方式比较容易被发现，于是出现了另一种方 式，就是HTTP基于的连接和共享数据方式。 – 原理同上, 只是把IRC服务器换成了HTTP服务器 – 僵尸主机通过HTTP协议连接到服务器上，控制者也连 接到服务器上发送控制命令。 – 由于现在网路上有大量的HTTP数据包，所以这种方式 不容易被防火墙发现而截获。
僵尸网络出现原因
• 专家表示，每周平均新增数十万台任 人遥控的僵尸电脑，任凭远端主机指挥， 进行各种不法活动。多数时候，僵尸电 脑的主人根本不晓得自己已被选中，任 人摆布。 僵尸网络之所以出现，在家高速上网 越来越普遍也是原因。高速上网可以处 理(或制造)更多的流量，但高速上网家 庭习惯将电脑长时间开机，唯有电脑开 机，远端主机才可以对僵尸电脑发号施 令。 网络专家称：“重要的硬件设施虽 然非常重视杀毒、防黑客，但网络真正 的安全漏洞来自于住家用户，这些个体 户欠缺自我保护的知识，让网络充满地 雷，进而对其他用户构成威胁。”
•
•
僵尸网络发展历程
• 1993年，首次发现 • 20世纪90年代末，初步发展 • 1999 年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信 道，也成为第一个真正意义上的bot程序。随后基于IRC协 议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于 IRC协议的Botnet成为主流。 • 2003 年之后，随着蠕虫技术的不断成熟，bot的传播开始 使用蠕虫的主动传播技术，从而能够快速构建大规模的 Botnet。著名的有2004年爆发的Agobot/Gaobot 和 rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上， 开始独立使用P2P 结构构建控制信道。
僵尸网络危害形式
• 拒绝服务攻击
• 使用Botnet发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所 有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到 DDos的目的。由于Botnet可以形成庞大规模，而且利用其进行DDos攻击可以做到更好 地同步，所以在发布控制指令时，能够使得DDos的危害更大，防范更难。 一些bots会设立sockv4、v5 代理，这样就可以利用Botnet发送大量的垃圾邮件， 而且发送者可以很好地隐藏自身的IP信息。 Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人 帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网 络流量中的秘密。 攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到 影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的 资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的 非法活动。 众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为 被人利用的一种工具。
僵尸网络工作原理
• （3）即时通信软件。利用即时通信软件向好友列表发送 执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击， 从而进行感染，如2005年年初爆发的MSN性感鸡 （Worm.MSNLoveme）采用的就是这种方式。 • （4）恶意网站脚本。攻击者在提供Web服务的网站中在 HTML页面上绑定恶意的脚本，当访问者访问这些网站时 就会执行恶意脚本，使得bot程序下载到主机上，并被自 动执行。 • （5）特洛伊木马。伪装成有用的软件，在网站、FTP 服 务器、P2P 网络中提供，诱骗用户下载并执行。 通 过以上几种传播手段可以看出，在Botnet的形成中传播方 式与蠕虫和病毒以及功能复杂的间谍软件很相近。
河北黑客操控六万台电脑制造僵尸网络
• • ■警方锁定神秘黑客 公安部经侦查发现，在我国互联网上有超过6万台的电脑，受到一神秘黑客编译的 一种名为IPXSRV的后门程序的控制，组成了一个庞大的“僵尸网络”。而神秘黑客则 通过操纵这个控制有6万余台电脑的“僵尸网络”，对北京那家网站进行“拒绝服务” 攻击，让6万余台电脑同时登录该网站，造成网络堵塞，让其他客户无法访问该网站。 如此大规模的“僵尸网络”攻击案在我国尚属首例。 今年1月10日，公安部专家来到唐山，直接督导侦破工作，最终查到唐山黑客的主 机位置，并确定主机所有人是唐山某企业职工徐某。通过高科技手段分析数据，警方 进一步确认徐某就是他们要找的神秘黑客，并于当日下午1时许，将其在家中擒获。 ■唐山黑客仅是个技校毕业生 徐某今年27岁，唐山市路北区人，某企业职工。 据徐某自述，其文化程度并不高，仅是个技校毕业生，而且所学专业还是车工。 最初接触电脑是在1995年，他受一位小学同学影响，开始自学计算机知识，并很快成 了一个电脑痴迷者，主攻计算机程序编译。
僵尸网络工作原理
• Botnet的工作过程包括 • 传播 • 加入 • 控制 • 一个Botnet首先需要的是 具有一定规模的被控计算 机，而这个规模是逐渐地 随着采用某种或某几种传 播手段的bot程序的扩散而 形成的，在这个传播过程 中有如下几种手段：
僵尸网络工作原理
• （1）主动攻击漏洞。其原理是通过攻击系统所存在的漏 洞获得访问权，并在Shellcode 执行bot程序注入代码，将 被攻击系统感染成为僵尸主机。属于此类的最基本的感染 途径是攻击者手动地利用一系列黑客工具和脚本进行攻击， 获得权限后下载bot程序执行。攻击者还会将僵尸程序和 蠕虫技术进行结合，从而使bot程序能够进行自动传播， 著名的bot样本AgoBot，就是实现了将bot程序的自动传播。 • （2）邮件病毒。bot程序还会通过发送大量的邮件病毒传 播自身，通常表现为在邮件附件中携带僵尸程序以及在邮 件内容中包含下载执行bot程序的链接，并通过一系列社 会工程学的技巧诱使接收者执行附件或点击链接，或是通 过利用邮件客户端的漏洞自动执行，从而使得接收者主机 被感染成为僵尸主机。
僵尸网络特点
• • 首先 是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网 络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计 算机添加到这个网络中来。 其次 这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮 件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这 个意义上讲，恶意程序bot也是一种病毒或蠕虫。 最后 也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为， 比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大 量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的 代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑 客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的 角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有 所不同。
• IRC协议采用C/S模式，用户可以通过客户端连接 到IRC服务器，建立、选择并加入感兴趣的频道， 每个用户都可以将消息发送给频道内所有其他用 户，也可以单独发给某个用户。频道的管理员可 以设置频道的属性，例如：设置密码、设置频道 为隐藏模式。
IRC僵尸网络工作原理，如下图所示。
• 攻击者首先通过各种传播方式使得目标主机感染僵尸程序。 采用不同的方式将僵尸程序植入用户计算机，例如： 通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、 通过电子邮件或者即时聊天工具等 • 当bot在被感染计算机上运行后，以一个随机的匿名和内 置密码连接到特定的IRC服务器，并加入指定的频道。 攻击者普遍使用动态域名服务将僵尸程序连接的域名映 射到他所控制的多台IRC服务器上，从而避免由于单一服 务器被摧毁后导致整个僵尸网络瘫痪的情况。 • 僵尸程序加入到攻击者私有的IRC命令与控制信道中。加 入信道的大量僵尸程序监听控制指令。 • 攻击者随时登陆该频道，并发送认证消息，认证通过后， 随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送 控制指令。 • 僵尸程序接受指令，并调用对应模块执行指令，从而完成 攻击者的攻击目标。