僵尸网络简述
1.概念简介
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
控制僵尸网络的攻击者称为“僵尸主控机(Botmaster)”。僵尸主控机通过僵尸网络的命令与控制(Command and Control, C&C)服务器向bot发布命令,C&C充当僵尸主控机和僵尸网络之间的接口。如果没有C&C服务器,僵尸网络将退化为一组无法协同运行的独立的受恶意软件入侵的机器。这就是可控性成为僵尸网络的主要特点之一的原因。
2.主要特点
根据我们队僵尸网络的定义,它主要有以下几种主要特点: ? 受感染计算机组成的网络
僵尸网络不仅是对许多计算机的大规模感染,更是一个由受感染计算机组织成的网络,并且相互之间或者和一个中间实体之间能够进行通信,并根据指令以协作的方式采取行动。 ? 能远程调度
僵尸网络必须能够接收并执行攻击者或者僵尸主控机发送的命令,并且根据这些指令以协作的方式采取行动。这就是僵尸网络和其他恶意软件,例如远程控制木马的不同之处。
? 用来进行恶意活动
威胁存在的主要原因是它实施恶意活动,其主要目的是执行攻击者的指令。
3.C&C结构
僵尸网络的C&C结构定义了命令和重要信息是怎样传递到bot的。 ? 集中式 ? 分散式 ? 混合式
3.1集中式C&C结构
最常见的僵尸网络C&C结构是集中式的。在这种结构中,僵尸网络由位于中央位置的C&C进行控制。这意味着僵尸网络的所有成员都连接到一个发布命令的中央节点。这种结构给僵尸主控机提供了一个很简单有效的和bot沟通的方法。另外,僵尸主控机可以很轻松的管理集中式C&C。 3.2分散式C&C结构
尽管集中式C&C结构有一些优点,比如简单性和可管理性,但这也是集中式僵尸网络的最大弊端。集中式C&C是僵尸网络失效的中心点,阻止访问C&C或者把它去掉将会使整个僵尸网络失效。僵尸网络的恶意软件仍会继续工作,但没有人去控制和用新的命令激活它。
分散式C&C结构中,节点既充当服务器也充当客户端。节点是受害计算机自身,这就消除了僵尸网络中心点失效的可能。分散式的C&C结构也称为点对点(P2P)僵尸网络。 3.3 混合式C&C结构
混合式僵尸网络使用集中式和分散式C&C组合,使用P2P作为它的主要C&C,当连接它的对等点失败时,它会转到它备用的C&C,一个使用集中式C&C结构的C&C。
4.僵尸网络的使用
Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或 个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类 型,Botnet还可能被用来发起新的未知攻击。
拒绝服务攻击
使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于Botnet可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。
发送垃圾邮件
一些bots会设立sockv4、v5 代理,这样就可以利用Botnet发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。
窃取秘密
Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
滥用资源
攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,Botnet无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少Botnet的危害。
僵尸网络挖矿
网络安全商fortiguard labs的网络安全研究报告指出,虚拟货币的僵尸挖矿ZeroAccess已经成为全球网络当下主要威胁。ZeroAccess的主要攻击手段是click fraud和virtual mining,通过控制大量僵尸主机进行挖矿活动,近期由于比特币等虚拟货币的价值飙升,ZeroAccess的获利可能出乎想象。
手机僵尸网络
手机流量总不够用、自动安装陌生软件、弹通知栏广告,你可能遇到了中国最大的安卓手机僵尸网络的攻击。这是一款叫做Android.Troj.mdk的后门程序(简称MDK),感染率高达千分之七,总计感染了不少于105万部智能手机。用户手机中招后,流量消耗剧增、广告频繁弹出、机器变卡变慢,隐私被窃取甚至存在被监听被跟踪的隐患。
恶意广告作者将正常的游戏应用,流行应用进行重新打包,然后再发布到市场,由于带有正常游戏或正常应用功能因此用户很难发现问题 ,并有可能会将游戏推荐给你身边的朋友。同时,恶意广告作者会进行后台刷榜,一提升用户热度,从而用户将流失流量。
5研究方法
对于目前比较流行的基于IRC协议的Botnet的研究方法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。 使用蜜网技术
蜜网技术是从bot程序出发的,可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到Botnet中去,当确认其确实为Botnet后,可以对该Botnet采取相应的措施。 网络流量研究
网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为