僵尸网络的威胁和应对

六、僵尸网络的发现和处置
IRC僵尸网络的发现 一、蜜罐（Honeypot) 例子：“honeynet project”项目 二、IDS+IRC协议解析： 例子：863－917网络安全监测平台 三、BOT行为特征： 快速加入型bot 长期连接型 bot 发呆型bot 例子：DdoSVax项目
National Computer network Emergency Response technical Team/Coordination Center of China
Botnet的结构和自身安全性
3 Botnet自身安全性 动态IRC服务器 秘密频道加用户认证 控制者身份的单向认证 跳板的利用 IRC服务器、频道、口令的更新 …
僵尸网络的威胁和应对
国家计算机网络应急技术处理协调中心 CNCERT/CC 陈明奇 博士
2006年8月9日 北京
摘要
第一部分 事例和概念 功能原理 发现处置 第二部分 案例分析
National Computer network Emergency Response technical Team/Coordination Center of China
National Computer network Emergency Response technical Team/Coordination Center of China
五、僵尸网络（Botnet） 的主要危害性
1、隐蔽性很强； 2、危害性巨大； 3、难以追查和清除。
黑客通过特定的数台控制主机，可以遥控网络中成千上万的主 除利用受控计算机群进行攻击外，黑客还利用控制的计算机 机从事各种攻击活动，可为其他形式的攻击提供强大支持。这 受控计算机用户绝大多数都不知道自己的计算机感染 群，进行跨网甚至跨国境的各种非法活动，来隐藏自己的活 包括：大规模的拒绝服务，短时间内使重要信息系统服务瘫痪 了木马而被控制，从而毫无防范。另外，黑客在达到 动踪迹，以躲避网络管理部门的技术调查和执法部门的查处 是随时有可能发生；发送大量垃圾邮件，传播各种有害信息； 特定目的情况下才会向所控制的机群发送命令，黑客 打击，比如隐藏蠕虫释放者和假冒(欺诈) 网页的踪迹。这给 散播蠕虫和含恶意代码的程序对于释放蠕虫，提高蠕虫和恶意 通常也会采取一些技术和技巧来隐蔽自己的控制通道 追查安全事件背后的黑客带来很大困难。僵尸网络往往数目 代码的扩散和传播速度；进行网页欺诈等等。此外，由于木马 以及只有自己才能控制这个受控机群。平时大多时 众多，如果无法架设新的控制服务器控制整个僵尸网络，那 感染目标平台是Windows 95/ 98/ME 以及Windows NT/2000/ XP 候，可以让这些受控机器处于正常状态，从而也难以 么，众多感染主机的清除起来是个长期过程。 平台，主要是个人用户，黑客还可以使感染木马而被控制的主 发现这些受控计算机的存在，可以长期潜伏。 机完全开放，重要资料泄露的隐患的危险性达到最高。这就仿 National Computer network Emergency Response technical Team/Coordination Center of China 佛在互联网上埋伏了可操控的军队。
分布式拒绝服务（DDOS）
控制者
控制节点
... ...
僵尸网络
ICMP Flood / SYN Flood / UDP Flood
目标
National Computer network Emergency Response technical Team/Coordination Center of China
一 事例
BotNet
历史可追溯到90年代，第一个Unix环境下的Bot是1993年的 Eggdrop Bot。自从1999年11月出现的SubSeven 2.1木马成功 地运用IRC协议控制感染SubSeven木马的主机之后，人们意识 到采用IRC协议进行Bot的控制是一种高效安全的途径，从 此,IRC协议和Bot经常携手出现。目前，主要的Bot都运行在 Windows系统下。但直到2004年初才引起重视。原因是利用 BotNet发送Spam和进行DDos攻击的事件越来越多，Bot的种类 也迅速增加。让我们简单回顾几个利用BotNet的案例： 2004年7月来自英国路透社的报导指出，有一个由青少年 2003爆发的Dvldr(口令)蠕虫，是第一个大面积迅速传播 2004年10月网络安全机构 SANS表示，僵尸计算机已被 人组成的新兴行业正盛行：「出租可由远程恶意程序任意 2004年11月，根据反网钓工作小组（APWG）的安全专 2004年，美国最大的家庭宽带ISP Comcast被发现成为互 2004年出现的Korgo系列、GaoBot系列、SdBot系列蠕虫 并利用IRC BotNet控制已感染机器的蠕虫。 黑客当作用来勒索的工具，若要避免服务器因 之 为 ” 僵 尸 2004年9月挪威ISP 这 些 受 控 制 的 计 算 机 称 DoS 而瘫 摆 布 的 计 算 机 」 ， Telenor 察觉某IRC服务器已成为1万 联网上最大的垃圾邮件来源，Comcast的用户平均每天发 家观察,网络钓鱼（Phishing）的技术愈来愈高明，现在 组成的BotNet可接受控制者指令，实施许多网络攻击行 趋势科技 TrendLabs在“2004年9月病毒感染分析报告”中 多台个人计算机组成的BoeNet的指挥中心后，关闭了该 （Zombie）”计算机。数目小自10部大到3万部，只要买 痪的代价是付给黑客4万美金。 送的8亿封邮件中，有88％是使用存在于Comcast内的 骗徒可运用受控僵尸系统（BotNet）来扩大网钓范围， 动。 指出，个人计算机成为任人摆布的僵尸计算机的机率，相 IRC服务器。 主愿意付钱，它们可以利用这些僵尸网络(BotNet)，进行 BotNet发送的垃圾邮件。 较于去年9月成长23.5倍。 坐等受害者上钩。 3月爆发的Witty蠕虫，Caida怀疑该蠕虫利用BotNet散 垃圾邮件散播、网络诈欺(phishing)、散播病毒甚至拒绝 发，因为其初始感染计算机数目超过100台。 服务攻击，代价仅需每小时100美元。
National Computer network Emergency Response technical Team/Coordination Center of China
IRC Bot的原理
4 Bot的传播方式
National Computer network Emergency Response technical Team/Coordination Center of China
National Computer network Emergency Response technical Team/Coordination Center of China
IRC Bot的原理
3 IRC Bot的实现：其特点是模拟IRC客户端， 使用IRC协议与IRC服务器通信。
现在的IRC Bot通常自己实现客户端协议，一般至少需要实现 以 下IRC命令： NICK和USER：用于标志一个用户和用户所属主机，相当于一个 ID； PASS:设置或发送口令； JOIN #Channel：加入一个频道； MODE:修改频道模式； PING和PONG:维持与IRC服务器的连接，当用户空闲时，服务器 向客户 端发送PING命令，客户端回应PONG命令，参数与PING的参数相 同， 表示客户端处于存活状态； PRIVMSG:向一个频道或用户发送消息； DCC SEND:一个用户向另一个用户传送文件，等等。
National Computer network Emergency Response technical Team/Coordination Center of China
二 基本概念
Bot:“Robot”（机器人）的简写，可以自动地执行 预定义的功能、可以被预定义的命令控制，具 有一定人工智能的程序。Bot不一定是恶意代 码，只有实现了恶意功能的Bot才属于恶意代码。 Zombie: 含有Bot或其他可以远程控制程序的计算 机叫Zombie（僵尸计算机）。 BotNet——僵尸网络:Bot组成的可通信、可被攻 击者控制的网络。
Bot Trojan horse
Spyware
不具备
可控
有
全部控制：高
一般没有
一般没有
有
信息泄露：中
Worm Virus
主动转播
一般没有
一般没有
网络流量：高
用户干预
一般没有
一般没有
感染文件：中
National Computer network Emergency Response technical Team/Coordination Center of China
National Computer network Emergency Response technical Team/Coordination Center of China
三 IRC Bot的原理
1 IRC（Internet Relay Chat）协议 IRC是一种专门的网络聊天室应用层协议； 客户端——服务器模式。 多服务器之间可建立信息共享。 IRC服务默认的端口是TCP 6667，通常也可以在 6000－7000端口范围之内选择，（许多IRC Bot为 了逃避常规的检查，选择443、8000、500等自定义 端口） 用户可以建立、选择和加入感兴趣的频道 频道可以隐藏。 支持文件传递。
四 Botnet的结构和自身安全性
1 BotNet的网络结构
National Computer network Emergency Response technical Team/Coordination Center of China
Botnet的结构和自身安全性
2 Botnet的生成和利用方式 以下过程展示了攻击者生成和利用Botnet的典型方式： (1)开发一个Bot或者修改、定制一个开源的Bot； (2)利用蠕虫在感染的主机上释放并运行这个Bot； (3)Bot进程运行后，以一个随机的Nickname和内置的密码加 入预定义的频道，攻击者不定时地也登陆到这个频道； (4)攻击者发送自身的认证信息，Bot认证后就等待执行该用 户（攻击者）发送的命令； (5)Bot读取发送到频道中的所有字符串，判断是否是认证的 攻击者发送的可识别的命令，是则执行。
National Computer network Emergency Response technical Team/Coordination Center of China
Bot、 Trojan horse 、Spyware 、 Worm、Virus的
联系与区别
传播性 不具备 可控性 高度可控 窃密性 有 危害级别 全部控制：高
National Computer network Emergency Response technical Team/Coordination Center of China
IRC Bot的原理
2 IRC Bot的功能
Bot可以根据接收到的控制命令执行预定义的功能，这 些功能一般括： 1)、发动Dos攻击 2)、浏览系统信息 3)、终止进程 4)、攻击IRC频道或邮箱 5)、上传和下载程序 6)、代理或SMTP服务器 7)、升级Bot 8)、卸载Bot
Bot 类型
IRC Bot:利用IRC协议进行通信和控制的Bot。主动 连接IRC聊天服务器上，接收控制命令。。 AOL Bot：与IRC Bot类似，登陆到固定的AOL服务接 收控制命令。AIM-Canbot和Fizzer蠕虫就采用了 AOL Instant Messager实现对Bot的控制。 P2P Bot：这类Bot采用peer to peer的方式相互通 信，优点是不存在单点失效，缺点是实现相对复 杂。（如phatbot） 其他：游戏Bot、售票Bot、聊天Bot、IRC管理Bot、 搜索引擎Bot等良性Bot。