僵尸网络学习总结
摘要:本文介绍了僵尸网络的概念及其特征,简要分析了僵尸网络的出现原因及其工作过程,最后提出如何应对僵尸网络。本文是对僵尸网络的初步学习情况之总结,为深入了解僵尸网络需更多学习与研究。
关键词:僵尸网络;僵尸程序;拒绝式服务攻击;垃圾邮件
Study Summary of Botnet Abstract: This article introduces the concept and features of the botnet and briefly analyzes the reason of emergence of botnet as well as its working proce.And then the article gives some advice on how to deal with a botnet.This paper is a summary of preliminary study about botnet.Futher study and research are needed in order to know more about botnet.Keywords: Botnet;Bot;DDos;Spam
1 引言
随着信息与网络技术的不断发展,越来越多的网络病毒成为网络信息安全的重要威胁,备受关注的僵尸网络是近几年来兴起的计算机网络的重大安全威胁之一,它正在迅速成为所有网络犯罪的基础。僵尸网络为黑客攻击提供了一个平台,攻击者通过各种途径传播僵尸程序感染网络上的大量主机,被感染的主机通过控制信道接收攻击者的指令,组成僵尸网络,而且大部分僵尸网络在攻击者的控制下可以进一步的传播,从而使得僵尸网络的规模越来越大,一旦攻击者拥有一定规模的僵尸网络,就可以利用僵尸网络所控制的僵尸主机发起分布式拒绝服务攻击、垃圾邮件等攻击,并从受控主机上窃取敏感信息或进行网络钓鱼以牟取经济利益,从而严重危害网络信息安全。
对于僵尸网络的研究是最近几年才逐渐开始的,从反病毒公司到学术机构都做了相关的研究工作,最先研究和应对僵尸网络的
是反病毒厂商。他们从僵尸程序的恶意性出发,将其视为一种后门工具、蠕虫、Spyware等技术结合的恶意软件而归入了病毒的查杀范围。学术界在2003年开始关注僵尸网络的发展,国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析,特别是德国蜜网项目组在2004年11月到2005年1月通过部署Win32蜜罐机发现并对近100个僵尸网络进行了跟踪,并发布了僵尸网络跟踪的技术报告。
2 僵尸网络定义及其特征
2.1 僵尸网络定义
僵尸网络:英文名称botnet,顾名思义僵尸网络是一个具有破坏性的网络,通常所说的僵尸网络是指黑客、骇客或者其他有特定意图的人群通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够相对集中地控制若干计算机直接向大量计算机发送指令的攻击网络,简单说,僵尸网络是攻击者
出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络。
2.2 僵尸网络特征
2.2.1僵尸网络的几个关键词
僵尸网络有三个关键词:bot程序 僵尸计算机 控制服务器。
bot程序是指恶意实现控制功能的程序代码,1993年出现了第一个被称为“蛋花汤”的bot程序Eggdrop,这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。
僵尸计算机是指被植入bot的计算机,感染bot病毒的计算机通常被称为靶标(drones)或者僵尸(zombies)一些骇客利用bot病毒感染大量计算机,被感染的计算机叫做肉鸡,庞大的肉鸡群组成了巨大的僵尸网络。
控制服务器是指控制和通信的中心服务器,例如,在基于IRC(Internet Relay Chat)协议进行控制的botnet中,就是指提供IRC聊天服务的服务器。 2.2.2僵尸网络特征
首先,僵尸网络是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次,僵尸网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮
件病毒等各种病毒与蠕虫的传播手段,都可以用来进行botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后,也是botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,botnet充当了一个攻击平台的角色,这也就使得botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
3 僵尸网络的工作过程
图1 僵尸网络的工作过程
从上图可以看出,botnet 的工作过程大致包括传播、加入和控制三个阶段。
一个botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动漏洞攻击:攻击系统存在的漏洞获得访问权。这种手段的关键之处在于编写shellcode,shellcode是一段代码,
是用来发送到服务器利用特定漏洞的代码 ,一般可以获取权限;shellcode只对没有打补丁的主机有用武之地,编写shellcode之所以关键是因为漏洞发现者在漏洞发现之初并不会给出完整的shellcode,他们要根据具体的漏洞编写具体的shellcode。
(2)邮件病毒:bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3) 即时通信软件:利用即时通信软件向好友列表发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,比较典型的是2005年年初爆发的MSN性感鸡。
(4)恶意网站脚本:攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马:把bot程序伪装成有用的软件,在网站、FTP服务器、P2P网络中提供,诱骗用户下载并执行。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感
染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。
4 僵尸网络的危害
4.1 僵尸网络的出现原因
对网友而言,感染上“僵尸病毒”十分容易,网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标,点击之后毫无动静,事实上,有问题的软件已经下载到自己的计算机了,而且下载时只用一种杀毒软件查不出来。一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动,多数时候,僵尸电脑的主人根本不晓得自己已被选中,任人摆布。 僵尸网络之所以出现,在家高速上网越来越普遍也是原因,高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
4.2 僵尸网络的危害
Botnet 构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或是重要应用系统瘫痪,也可以导致大量机密或个人隐私泄露,还可以用来从事网络欺诈等其他违法犯罪活动。常见类型:
►拒绝服务攻击DDos(Distributed Denial of service)
►发送垃圾邮件:在发送垃圾邮件的过程中,攻击者通常设立一级甚至几级代理服务器,达到很好隐藏自身IP信息的目的。 ►窃取秘密:攻击者可以从僵尸主机上窃取用户的各类敏感信息,个人账号、机密
数据等,同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
►滥用资源:种植广告软件,利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼等非法活动。
5 僵尸网络的研究方法及其应对
5.1 僵尸网络的研究方法
对于目前较流行的基于IRC协议的botnet的研究法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。
蜜网技术是从bot程序出发的,可以深入跟踪和分析botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录botnet所需要的属性,如botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪botnet和深入分析botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到botnet中去,当确认其确实为botnet后,可以对该botnet采取相应的措施。
网络流量的研究思路是通过分析基于IRC协议的botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在botnet中存在着三个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸计算机
一般会长时间在线;三是僵尸计算机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第一种行为特征归纳为快速加入型,将第
二、三种行为特征归纳为长期发呆型。研究对应这两类僵尸计算机行为的网络流量变化,使用离线和在线的两种分析方法,就可以实现对botnet的判断。 IRC Server识别技术是通过登录大量实际的基于IRC协议的botnet的服务器端,可以看到,由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时,通过对bot源代码的分析看到,当被感染主机加入到控制服务器时,在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结,就形成了可以用来判断基于IRC协议的botnet的服务器端的规则,这样就可以直接确定出botnet的位置及其规模、分布等性质,为下一步采取应对措施提供有力的定位支持。 5.2 僵尸网络的应对
Web过滤服务是迎战僵尸网络的最有力武器,这些服务扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动,并且阻止这些站点与用户接触。
防止僵尸网络感染的另一种策略是浏览器的标准化,而不是仅仅依靠微软的Internet Explorer 或
Mozilla 的
Firefox。IE 和火狐两者确实是最为流行的,不过正因为如此,恶意软件作者们通常也乐意为他们编写代码,同样的策略也适用于操作系统,正如Linux操作系统很少受到僵尸网络的侵扰,因为大多数僵尸的罪魁祸首都把目标指向了流行的windows。
重新部署入侵检测系统IDS和入侵防
御系统IPS,使之查找有僵尸特征的活动。例如,重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。一个IPS或IDS系统可以监视不正常的行为,这些行为指明了难于发现的、基于HTTP的攻击和来自远程过程的攻击、Telnet和地址解析协议 欺骗等。然而,值得注意的是,许多IPS检测器使用基于特征的检测技术,也就是说,这些攻击被发现时的特征被添加到一个数据库中,如果数据库中没有有关的特征就无法检测出来。因此,IDS或IPS就必须经常性的更新其数据库以识别有关的攻击,对于犯罪活动的检测需要持续不断的努力。
使用补救工具,如果发现了一台被感染的计算机,那么一个临时应急的重要措施就是如何进行补救。但著名的僵尸网络猎捕手Gadi Evron则认为“保持一台计算机绝对安全干净、免遭僵尸感染的方法是对原有的系统彻底清楚,并从头开始安装系统”。
除此之外,应对僵尸网络还有很多其他的方法,如禁用脚本、保护用户生成的内容等等,虽然应对方法很多,但是黑客、骇客会想出更多的攻击手段和方法,所以和攻击者比技术并不是长久之策,重要的是规范自己的上网习惯,不访问已知的恶意站点,并监视网络中的可疑行为,保护自己的公共站点免受攻击,这样网络就基本上处于良好状态。
6 结语
僵尸网络的存在无疑对Internet的安全构成了巨大的威胁,快速变化的僵尸网络定会继续增加,快速变化是Storm等僵尸网络使用的一种方法惯用的伎俩,目的是把网络钓鱼和恶意网站隐藏在某个不断变化的网络
的后面。随着行业对策在不断减弱传统僵尸网络的有效性,预计更多的僵尸网络会开发出更多的方法来发起攻击,如何应对僵尸网络必须引起计算机业界和全社会各界人士的足够重视。
参考文献
[1]国际互联网安全的重要威胁之一:僵尸网络,蔡
彬彬 赵巍,2010.3
[2]基于P2P的僵尸网络及其防御,应凌云 冯登国 苏璞睿,2009.1
[3]僵尸网络的危害与防范方法,师平雷渭侣 [4]僵尸网络流的识别,蔡敏,2010.4
[5]僵尸网络特性与发展研究分析,张蕾,2010
[6]蜜罐及蜜网技术简介,北大计算机科学技术研究所,诸葛建伟,2004.10
