僵尸網(wǎng)絡(luò)的最新發(fā)展

孫 栩

(鐵道警官高等專(zhuān)科學(xué)校警察管理系,河南鄭州450053)

僵尸網(wǎng)絡(luò)的最新發(fā)展

孫 栩

(鐵道警官高等專(zhuān)科學(xué)校警察管理系,河南鄭州450053)

最近幾年“僵尸網(wǎng)絡(luò)”的危害愈演愈烈,它的類(lèi)型包括IRCBot、AOLBot和P2PBot等,而且正在進(jìn)行著更加快速的演變。但僵尸網(wǎng)絡(luò)的結(jié)構(gòu)并沒(méi)有太大的變化,其典型利用方式基本可以分為五個(gè)步驟。而僵尸網(wǎng)絡(luò)的主流發(fā)展趨勢(shì)就是不斷利用系統(tǒng)插件、新的文件格式和Web2.0系統(tǒng)進(jìn)行傳播。但只要注意在網(wǎng)絡(luò)和主機(jī)兩個(gè)層面進(jìn)行全方位的防范,“僵尸網(wǎng)絡(luò)”依然是可控的。

僵尸網(wǎng)絡(luò);文件格式

一、僵尸網(wǎng)絡(luò)的原理和類(lèi)型

(一)原理

僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段,將大量主機(jī)感染Bot程序,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。

攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字,是為了更形象地讓人們認(rèn)識(shí)到這類(lèi)危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺(jué)中如同中國(guó)古老傳說(shuō)中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具。

BotNet是目前發(fā)起拒絕式服務(wù)攻擊的主要手段,而且也是制造垃圾郵件的罪魁禍?zhǔn)住１热缱钇毡榈木芙^服務(wù)攻擊步驟是:

首先,新的客戶(hù)端加入預(yù)先設(shè)定的IRC通道并對(duì)命令進(jìn)行監(jiān)聽(tīng);

然后,控制者通過(guò)命令系統(tǒng)發(fā)送到IRC服務(wù)器;

接著,所有BotNet客戶(hù)端通過(guò)IRC通道取得這條命令;

隨后,所有BotNet客戶(hù)端對(duì)指令設(shè)定的目標(biāo)發(fā)動(dòng)拒絕服務(wù)攻擊;

最后,BotNet客戶(hù)端向控制者匯報(bào)指令執(zhí)行的情況。

從這個(gè)事例我們可以看出僵尸網(wǎng)絡(luò)的優(yōu)勢(shì):控制者不會(huì)做出任何的攻擊行為,發(fā)起攻擊的計(jì)算機(jī)和服務(wù)器都不是控制者本身的機(jī)器,控制者要做的只是要注意隱藏自己發(fā)送命令的通道信息。攻擊結(jié)束之后控制者也可以很方便地切斷和所控制的Bot2 Net客戶(hù)端連接的通路并刪除客戶(hù)端內(nèi)部的日志文件從而使其置身事外,而從受害計(jì)算機(jī)反向追蹤到控制者是很困難的,而且信息隨時(shí)都可能被銷(xiāo)毀。

(二)名詞解釋

Bot:機(jī)器人英文簡(jiǎn)寫(xiě),可以自動(dòng)地執(zhí)行預(yù)先設(shè)定的程序,可以被預(yù)定義的指令操縱,擁有一定AI的程序。它不一定是惡意代碼,只有用來(lái)實(shí)現(xiàn)惡意功能的Bot才是惡意代碼。

BotNet(僵尸網(wǎng)絡(luò)):Bot組成的可通信、可被攻擊者控制的網(wǎng)絡(luò)。

(三)Bot類(lèi)型

IRCBot:利用IRC協(xié)議進(jìn)行通信和控制的機(jī)器人。主動(dòng)連接至IRC服務(wù)器上,隨時(shí)準(zhǔn)備接收控制者的命令。

AOLBot:登錄到美國(guó)在線(xiàn)的AOL服務(wù)器隨時(shí)接收控制命令。

游戲Bot、聊天室Bot、管理Bot、雅虎谷歌等搜索引擎的Bot等良性Bot。

二、僵尸網(wǎng)絡(luò)的演變

Bot并不是天生就是惡意程序,它的出現(xiàn)是為了給計(jì)算機(jī)用戶(hù)進(jìn)行輔助性的操作,使用戶(hù)擺脫一些繁瑣重復(fù)性的勞動(dòng)。初期的Bot是出現(xiàn)在IRC聊天服務(wù)中的,它和IRC服務(wù)器的出現(xiàn)都是在上世紀(jì)80年代末期。因?yàn)楫?dāng)時(shí)技術(shù)的限制,直到上世紀(jì)末,第一個(gè)基于IRC服務(wù)器的蠕蟲(chóng)病毒才出現(xiàn),它可以通過(guò)Bot對(duì)IRC服務(wù)器進(jìn)行遠(yuǎn)程操控。它已經(jīng)具有現(xiàn)代Bot的大部分功能,如:獲得機(jī)器本身信息、竊取賬戶(hù)和密碼信息、靜默式更新、DDos、上傳下載文件等功能。而本世紀(jì)初出現(xiàn)的新型Bot突破了IRC的界限,不但可以通過(guò)IRC服務(wù)對(duì)主機(jī)進(jìn)行控制,還會(huì)自動(dòng)搜尋其他方面的漏洞如有名的RPC服務(wù)漏洞,進(jìn)行攻擊,然后把該主機(jī)加入僵尸網(wǎng)絡(luò)中。這使其防御起來(lái)更加困難了。

(一)BotNet網(wǎng)絡(luò)結(jié)構(gòu)

上圖中最右邊的為控制者的主機(jī)或服務(wù)器,中部為IRCserver,左邊是多個(gè)受控Bot的主機(jī)。

(二)它的生成和利用方式

生成和利用BotNet攻擊的最基本方式:

第一步:制作或者修改一個(gè)Bot;

第二步:在感染木馬病毒的計(jì)算機(jī)或服務(wù)器上運(yùn)行這個(gè)Bot;

第三步:當(dāng)Bot進(jìn)入內(nèi)存進(jìn)程后,以設(shè)定的昵稱(chēng)和原始密碼進(jìn)入事先準(zhǔn)備好的頻道,攻擊者也會(huì)隨時(shí)登錄它;

第四步:攻擊者向Bot進(jìn)行控制身份認(rèn)證,Bot經(jīng)過(guò)核實(shí)然后進(jìn)入預(yù)備狀態(tài),等待該控制者發(fā)出命令后進(jìn)行預(yù)先設(shè)定的攻擊;

第五步:Bot截取已核實(shí)為控制者發(fā)送的所有信息,如果該信息為攻擊命令則開(kāi)始攻擊。

三、僵尸網(wǎng)絡(luò)的危害

僵尸網(wǎng)絡(luò)組建了一個(gè)進(jìn)行攻擊和控制Bot的復(fù)雜的平臺(tái),通過(guò)該平臺(tái)能夠用控制Bot的方法發(fā)起多種類(lèi)全方位的攻擊行為,導(dǎo)致大面積的基礎(chǔ)公眾網(wǎng)和銀行、交通等重要系統(tǒng)的崩潰,而且能夠造成國(guó)家機(jī)密、科研機(jī)密、商業(yè)機(jī)密以及個(gè)人隱私被他人掌握,同時(shí)也可以被網(wǎng)絡(luò)詐騙等違法犯罪活動(dòng)利用。以下介紹的是已經(jīng)廣泛應(yīng)用的僵尸網(wǎng)絡(luò)用來(lái)發(fā)動(dòng)的攻擊性行為。

(一)Dos

使用僵尸網(wǎng)絡(luò)發(fā)動(dòng)拒絕服務(wù)攻擊是目前最廣泛運(yùn)用的攻擊方式之一,攻擊者能夠給本身所操縱的任何Bot發(fā)送指令,讓它們?cè)谀承╊A(yù)先設(shè)定的時(shí)間內(nèi)一齊連續(xù)地向指定的網(wǎng)絡(luò)主機(jī)或服務(wù)器發(fā)送訪問(wèn)請(qǐng)求,能夠有效地進(jìn)行拒絕服務(wù)攻擊。由于僵尸網(wǎng)絡(luò)可以通過(guò)木馬病毒的方式傳播以增加Bot的數(shù)量,所以它的規(guī)?？梢詿o(wú)限擴(kuò)大,而且通過(guò)僵尸網(wǎng)絡(luò)進(jìn)行的拒絕服務(wù)攻擊有很好的同步性,所以它所進(jìn)行的拒絕服務(wù)攻擊會(huì)有更大的破壞力,而且更加難以防范。

(二)非法利用資源

僵尸網(wǎng)絡(luò)被攻擊者用來(lái)進(jìn)行大量網(wǎng)絡(luò)資源的消耗活動(dòng),降低用戶(hù)的網(wǎng)絡(luò)帶寬等各項(xiàng)性能,還會(huì)造成經(jīng)濟(jì)上的損失;它常常被用作散播廣告性軟件,通過(guò)該軟件,被控制者的瀏覽器自動(dòng)進(jìn)入某些商業(yè)性網(wǎng)站從而使控制者賺取廣告費(fèi);它可以控制主機(jī)使主機(jī)在不知情的情況下存儲(chǔ)非法數(shù)據(jù)。

(三)窺視隱私和盜取賬號(hào)

僵尸網(wǎng)絡(luò)的控制者可以從Bot中窺探用戶(hù)的個(gè)人隱私和各種關(guān)鍵信息,如用戶(hù)賬號(hào)、密碼、銀行卡號(hào)等。而且病毒程序可以用sniffer等數(shù)據(jù)截取工具來(lái)探測(cè)對(duì)自己有利的網(wǎng)絡(luò)流量數(shù)據(jù),以便獲得網(wǎng)絡(luò)流量中的秘密。

(四)發(fā)送垃圾郵件

Bot可以通過(guò)開(kāi)通sockv4和sockv5代理來(lái)利用僵尸網(wǎng)絡(luò)發(fā)送大量的垃圾郵件,而且控制者也能夠通過(guò)簡(jiǎn)單的步驟隱藏本身的IP地址。

四、新型僵尸網(wǎng)絡(luò)

2009年,互聯(lián)網(wǎng)上新出現(xiàn)的僵尸網(wǎng)絡(luò)的攻擊手段更加多樣化。僵尸網(wǎng)絡(luò)的控制在空間上的距離和范圍也分布得更加廣闊。新技術(shù)的產(chǎn)生很好地增強(qiáng)了僵尸網(wǎng)絡(luò)的的效率以及機(jī)動(dòng)性。更多的正常企業(yè)和公司的網(wǎng)站被僵尸網(wǎng)絡(luò)攻擊,影響到了它們的核心競(jìng)爭(zhēng)力,甚至被盜取了商業(yè)機(jī)密。

最近出現(xiàn)的僵尸網(wǎng)絡(luò)的攻擊一般采用管理程序技術(shù)。管理程序技術(shù)是一種模仿計(jì)算機(jī)系統(tǒng)的管理程序使得操作系統(tǒng)無(wú)法識(shí)別的工具。管理程序可以對(duì)很多主機(jī)上的CPU和資源進(jìn)行操縱。雖然所有操作系統(tǒng)都會(huì)顯示本身的CPU和資源,但是攻擊者的計(jì)算機(jī)或者服務(wù)器對(duì)它的控制卻無(wú)法顯示出來(lái)。下面是最新的幾種僵尸網(wǎng)絡(luò)的技術(shù)。

(一)BHO控件的利用

BHO控件也成為最新的僵尸網(wǎng)絡(luò)的突破口。Object,是MS公司于1999年底發(fā)布的IE對(duì)第三方編程人員開(kāi)放交互式接口的標(biāo)準(zhǔn)。第三方程序通過(guò)它可以用自創(chuàng)代碼響應(yīng)接收IE的事件,用來(lái)獲得IE行為和組件的信息,甚至進(jìn)一步控制IE的行為。該控件其實(shí)也是IE擴(kuò)展接口組件,其本質(zhì)仍然是動(dòng)態(tài)鏈接庫(kù)。它和其他接口組件的區(qū)別是其他的擴(kuò)展接口要用到某些用戶(hù)的手動(dòng)操作,如單擊菜單、工具條上的按鈕,輸入網(wǎng)頁(yè)地址等觸發(fā)性的動(dòng)作才會(huì)被瀏覽器加載,而該控件不同,當(dāng)瀏覽器啟動(dòng)的時(shí)候, BHO就會(huì)被瀏覽器加載而無(wú)需任何條件來(lái)觸發(fā)它。另外該控件還可以監(jiān)視瀏覽器的各類(lèi)消息。瀏覽器劫持就是利用了這個(gè)漏洞,本質(zhì)上就是指引瀏覽器通過(guò)一條錯(cuò)誤的路線(xiàn)的現(xiàn)象。惡意程序通過(guò)該控件來(lái)修改用戶(hù)的IE,使得用戶(hù)從普通的網(wǎng)頁(yè)跳轉(zhuǎn)到惡意網(wǎng)頁(yè),一般用戶(hù)在受害的同時(shí)無(wú)法察覺(jué)。IObject2 WithSite和IDispatch是該控件的擴(kuò)展接口,其中IObjectWithSite是用來(lái)獲得IE控制權(quán)的接口,而IDispatch接口則是用來(lái)監(jiān)聽(tīng)I(yíng)E的事件的接口。

這種方法也常常被應(yīng)用于用BHO控件來(lái)控制僵尸網(wǎng)絡(luò),它們的區(qū)別是過(guò)去的僵尸網(wǎng)絡(luò)是用Bot控制其他主機(jī),而這種方法是用BHO插件來(lái)控制其他主機(jī)。但BHO控件之間不具備傳染性,它的端口和進(jìn)程都無(wú)需打開(kāi),隨瀏覽器的打開(kāi)而啟動(dòng),有很強(qiáng)的隱蔽性。一般來(lái)說(shuō)防火墻都無(wú)法阻止它的進(jìn)入并且沒(méi)有任何提示,普通的計(jì)算機(jī)使用者就更加不會(huì)注意。當(dāng)被攻擊者的機(jī)器被攻擊者植入帶有BHO插件木馬的病毒后,BHO進(jìn)入到IE中,然后和IE綁定在一起,無(wú)時(shí)無(wú)刻不控制著IE,從而使其變成攻擊傀儡群中的一分子。控制者現(xiàn)在要做的就是把其他惡意代碼放到已被完全操縱的計(jì)算機(jī)傀儡群中,由剛被植入BHO插件木馬的傀儡群來(lái)自動(dòng)下載,然后發(fā)出攻擊指令。至此,整個(gè)僵尸網(wǎng)絡(luò)鏈構(gòu)建成功。

(二)音頻格式文件的利用

此外,還有很多過(guò)去認(rèn)為無(wú)法跟僵尸網(wǎng)絡(luò)產(chǎn)生關(guān)系的程序或者文件也慢慢淪為僵尸利用的武器。如音頻文件過(guò)去一般認(rèn)為都是可靠的。但是我國(guó)微機(jī)病毒應(yīng)急處理中心于2008年8月31日上午宣布,在例行的對(duì)互聯(lián)網(wǎng)信息內(nèi)容的監(jiān)測(cè)中最新發(fā)現(xiàn)一種蠕蟲(chóng)病毒,它能夠感染電腦系統(tǒng)中的音頻文件(如wma等),計(jì)算機(jī)使用者需小心防范。專(zhuān)家稱(chēng),該蠕蟲(chóng)并沒(méi)有破壞被感染的音頻信息文件讓其無(wú)法正常播放,而是會(huì)使該音頻信息文件所存放的系統(tǒng)主動(dòng)登錄指定的網(wǎng)頁(yè)服務(wù)器來(lái)下載木馬和病毒等惡意程序,最后使得該計(jì)算機(jī)系統(tǒng)成為網(wǎng)絡(luò)僵尸的一員。

(三)PDF格式文件的利用

同樣的命運(yùn)最近也降臨在PDF格式的文件身上。4月初防病毒網(wǎng)站已經(jīng)發(fā)出警告說(shuō)有控制者利用PDF文件的內(nèi)部漏洞,將特定的惡意程序加入到PDF的內(nèi)部信息中,然后利用郵件來(lái)散布,當(dāng)用戶(hù)打開(kāi)該P(yáng)DF文件的時(shí)候,便會(huì)被加入病毒木馬等程序以擴(kuò)大僵尸網(wǎng)絡(luò)的范圍?？刂普咚玫木褪怯?jì)算機(jī)安全研究人員于3月底找到的PDF的缺陷。因?yàn)镻DF文件格式允許用戶(hù)嵌入各種內(nèi)容,如視頻、音頻等,而且PDF文件格式中的Launch功能能夠用來(lái)執(zhí)行應(yīng)用程序,這就使得控制者可以利用其相關(guān)功能在PDF中加入惡意代碼。不過(guò)從嚴(yán)格意義上來(lái)說(shuō)這個(gè)問(wèn)題并不是安全漏洞,只是PDF格式的一種功能。對(duì)于這個(gè)發(fā)現(xiàn),Adobe公司表示,這次事件說(shuō)明了不當(dāng)使用某些功能會(huì)帶來(lái)潛在的風(fēng)險(xiǎn),該公司會(huì)發(fā)布最佳解決方案并且通過(guò)更新來(lái)進(jìn)行修補(bǔ)。不過(guò),在其還未進(jìn)行更新時(shí),就已經(jīng)有控制者運(yùn)用以上的方法來(lái)進(jìn)行惡意代碼的嵌入,已經(jīng)有很多PDF文件的使用者受害,被植入了Zeus僵尸網(wǎng)絡(luò)程序。在美國(guó)已經(jīng)有超過(guò)300萬(wàn)臺(tái)電腦被Zeus感染,它最主要的用途是盜取使用者計(jì)算機(jī)中的機(jī)密和隱私信息,這是至今第一個(gè)利用PDF文件漏洞來(lái)擴(kuò)展勢(shì)力范圍的僵尸網(wǎng)絡(luò)。

(四)Web2.0網(wǎng)站的感染

越來(lái)越多的文件格式成為僵尸網(wǎng)絡(luò)的傳播方式,更令人擔(dān)憂(yōu)的是,最近幾年才發(fā)展起來(lái)的Web 2.0網(wǎng)站也成了重災(zāi)區(qū)。僵尸網(wǎng)絡(luò)對(duì)web2.0網(wǎng)站在2009年間進(jìn)行了大量的攻擊和操縱。Twitter、谷歌閱讀等服務(wù)器都曾經(jīng)被用做垃圾郵件發(fā)起攻擊的頁(yè)面,因?yàn)樗鼈兛梢杂脕?lái)來(lái)逃脫電子郵件的地址篩選。最近一段時(shí)間,谷歌的很多服務(wù)器主機(jī)都曾經(jīng)被用來(lái)作為僵尸網(wǎng)絡(luò)代理服務(wù)器以便操控各主機(jī); 2009年底有專(zhuān)家指出,Zeus僵尸網(wǎng)絡(luò)入侵并破壞亞馬遜云操控的服務(wù)。這些主流論壇被用來(lái)發(fā)布混合編碼指令,以便在全球范圍散播僵尸網(wǎng)絡(luò)。

五、僵尸網(wǎng)絡(luò)的防御

不管是初期的各種Bot的客戶(hù)端,還是現(xiàn)在的運(yùn)用各種掛木馬等方式進(jìn)行工作的新型的僵尸網(wǎng)絡(luò),要想做到對(duì)于它們的全面徹底的防御,就必須通過(guò)結(jié)合網(wǎng)絡(luò)和主機(jī)的各種防護(hù)手段,實(shí)現(xiàn)各個(gè)層次的防御。

(一)網(wǎng)絡(luò)層面

不管是老式的Bot程序還是最新的僵尸網(wǎng)絡(luò)的通信,都必須通過(guò)各個(gè)端口來(lái)實(shí)現(xiàn)。絕大部分的Bot都使用端口6667和其他數(shù)值較大的端口(比如31856和65432)。大于1024號(hào)的所有端口應(yīng)該設(shè)置為禁止Bot程序進(jìn)入,除非你確定有特殊的應(yīng)用程序要用到某個(gè)特定的端口,即使這樣,你也應(yīng)該對(duì)這個(gè)端口制定嚴(yán)格的通信政策如“只在某些時(shí)間打開(kāi)”。

僵尸網(wǎng)絡(luò)常常是在早上7點(diǎn)之前發(fā)布命令或者升級(jí)的,因?yàn)檫@個(gè)時(shí)候進(jìn)行工作很少會(huì)被人發(fā)現(xiàn)。所以要養(yǎng)成在每天第一次登錄計(jì)算機(jī)就查看系統(tǒng)日志的習(xí)慣,如果你發(fā)現(xiàn)在沒(méi)有人上網(wǎng)的情況下卻有瀏覽網(wǎng)頁(yè)等異?；顒?dòng),就應(yīng)該立刻著手進(jìn)行檢查。

(二)主機(jī)層面

從主機(jī)層面來(lái)說(shuō),選擇的安全產(chǎn)品必須有多重的防御手段,要做到不成為僵尸網(wǎng)絡(luò)的客戶(hù)端。該主機(jī)客戶(hù)端要包含以下的功能:防火墻——用來(lái)阻斷飽和式攻擊和非法的鏈接,殺毒軟件——消滅后門(mén)、木馬等病毒程序。還要有對(duì)系統(tǒng)及時(shí)更新補(bǔ)丁的習(xí)慣。

實(shí)際上系統(tǒng)資源占用量過(guò)大是實(shí)現(xiàn)桌面安全客戶(hù)端的難點(diǎn)問(wèn)題。由于安全功能的多重性,企業(yè)類(lèi)的用戶(hù)一般會(huì)使用兩個(gè)或多個(gè)廠商的安全類(lèi)產(chǎn)品,通常情況下這樣會(huì)造成沖突、占用較多的資源和使得管理方式復(fù)雜化,而且各個(gè)廠商的安全產(chǎn)品之間會(huì)存在一些技術(shù)上的間隙,能使蠕蟲(chóng)、木馬等惡意程序乘虛而入。

六、結(jié)語(yǔ)

僵尸網(wǎng)絡(luò)并不是牢不可破的。面對(duì)僵尸網(wǎng)絡(luò)的威脅,我們應(yīng)該從網(wǎng)絡(luò)和主機(jī)這兩個(gè)層面來(lái)著手解決,而這兩個(gè)層面所采用的安全產(chǎn)品和安全技術(shù)要能夠阻斷僵尸網(wǎng)絡(luò)攻擊和傳播的每一條途徑,這樣就能夠阻止僵尸網(wǎng)絡(luò)的危害,構(gòu)造良好的網(wǎng)絡(luò)環(huán)境,提高互聯(lián)網(wǎng)的安全性。

[1]縱鑫,李玉德.“僵尸網(wǎng)絡(luò)”的危害、特點(diǎn)及新型控制方式[J].法制與社會(huì),2008,(12下).

責(zé)任編輯:崔海英

Abstract:In recent years,botnet has becom ingmore and more harm ul.Its types inc lude IRC BOT,AOL BOT and P2PBOT,etc.It is changing faster and faster,but its structure hasnot changed a lot.Itcan used basi2 cally by five step s.Them ain trend of botnet is to sp read by keep ing using system p lugs-in,new file form ats and W EB2.0 system.So long aswe pay attention to the all-around guard atnetwork and host,we can control the bot2 net.

Keywords:botnet;harm;new type;file form at

The New Developm en t of Botnet

Sun Xu
(D epartm en t of PoliceM anagem en t,Ra ilw ay Po lice Co llege,Zhengzhou 450053,Ch ina)

D631

C

1009-3192(2010)06-0024-04

2010-08-28

孫栩,男,江蘇淮安人,中國(guó)人民公安大學(xué)2009級(jí)高校教師計(jì)算機(jī)應(yīng)用技術(shù)專(zhuān)業(yè)碩士研究生,鐵道警官高等專(zhuān)科學(xué)校警察管理系助教。