孫 栩

(鐵道警官高等?？茖W(xué)校警察管理系,河南鄭州450053)

僵尸網(wǎng)絡(luò)的最新發(fā)展

孫 栩

(鐵道警官高等?？茖W(xué)校警察管理系,河南鄭州450053)

最近幾年“僵尸網(wǎng)絡(luò)”的危害愈演愈烈,它的類型包括IRCBot、AOLBot和P2PBot等,而且正在進行著更加快速的演變。但僵尸網(wǎng)絡(luò)的結(jié)構(gòu)并沒有太大的變化,其典型利用方式基本可以分為五個步驟。而僵尸網(wǎng)絡(luò)的主流發(fā)展趨勢就是不斷利用系統(tǒng)插件、新的文件格式和Web2.0系統(tǒng)進行傳播。但只要注意在網(wǎng)絡(luò)和主機兩個層面進行全方位的防范,“僵尸網(wǎng)絡(luò)”依然是可控的。

僵尸網(wǎng)絡(luò);文件格式

一、僵尸網(wǎng)絡(luò)的原理和類型

(一)原理

僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段,將大量主機感染Bot程序,從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。

攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機,而被感染的主機將通過一個控制信道接收攻擊者的指令,組成一個僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個名字,是為了更形象地讓人們認識到這類危害的特點:眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具。

BotNet是目前發(fā)起拒絕式服務(wù)攻擊的主要手段,而且也是制造垃圾郵件的罪魁禍首。比如最普遍的拒絕服務(wù)攻擊步驟是:

首先,新的客戶端加入預(yù)先設(shè)定的IRC通道并對命令進行監(jiān)聽;

然后,控制者通過命令系統(tǒng)發(fā)送到IRC服務(wù)器;

接著,所有BotNet客戶端通過IRC通道取得這條命令;

隨后,所有BotNet客戶端對指令設(shè)定的目標發(fā)動拒絕服務(wù)攻擊;

最后,BotNet客戶端向控制者匯報指令執(zhí)行的情況。

從這個事例我們可以看出僵尸網(wǎng)絡(luò)的優(yōu)勢:控制者不會做出任何的攻擊行為,發(fā)起攻擊的計算機和服務(wù)器都不是控制者本身的機器,控制者要做的只是要注意隱藏自己發(fā)送命令的通道信息。攻擊結(jié)束之后控制者也可以很方便地切斷和所控制的Bot2 Net客戶端連接的通路并刪除客戶端內(nèi)部的日志文件從而使其置身事外,而從受害計算機反向追蹤到控制者是很困難的,而且信息隨時都可能被銷毀。

(二)名詞解釋

Bot:機器人英文簡寫,可以自動地執(zhí)行預(yù)先設(shè)定的程序,可以被預(yù)定義的指令操縱,擁有一定AI的程序。它不一定是惡意代碼,只有用來實現(xiàn)惡意功能的Bot才是惡意代碼。

BotNet(僵尸網(wǎng)絡(luò)):Bot組成的可通信、可被攻擊者控制的網(wǎng)絡(luò)。

(三)Bot類型

IRCBot:利用IRC協(xié)議進行通信和控制的機器人。主動連接至IRC服務(wù)器上,隨時準備接收控制者的命令。

AOLBot:登錄到美國在線的AOL服務(wù)器隨時接收控制命令。

游戲Bot、聊天室Bot、管理Bot、雅虎谷歌等搜索引擎的Bot等良性Bot。

二、僵尸網(wǎng)絡(luò)的演變

Bot并不是天生就是惡意程序,它的出現(xiàn)是為了給計算機用戶進行輔助性的操作,使用戶擺脫一些繁瑣重復(fù)性的勞動。初期的Bot是出現(xiàn)在IRC聊天服務(wù)中的,它和IRC服務(wù)器的出現(xiàn)都是在上世紀80年代末期。因為當時技術(shù)的限制,直到上世紀末,第一個基于IRC服務(wù)器的蠕蟲病毒才出現(xiàn),它可以通過Bot對IRC服務(wù)器進行遠程操控。它已經(jīng)具有現(xiàn)代Bot的大部分功能,如:獲得機器本身信息、竊取賬戶和密碼信息、靜默式更新、DDos、上傳下載文件等功能。而本世紀初出現(xiàn)的新型Bot突破了IRC的界限,不但可以通過IRC服務(wù)對主機進行控制,還會自動搜尋其他方面的漏洞如有名的RPC服務(wù)漏洞,進行攻擊,然后把該主機加入僵尸網(wǎng)絡(luò)中。這使其防御起來更加困難了。

(一)BotNet網(wǎng)絡(luò)結(jié)構(gòu)

上圖中最右邊的為控制者的主機或服務(wù)器,中部為IRCserver,左邊是多個受控Bot的主機。

(二)它的生成和利用方式

生成和利用BotNet攻擊的最基本方式:

第一步:制作或者修改一個Bot;

第二步:在感染木馬病毒的計算機或服務(wù)器上運行這個Bot;

第三步:當Bot進入內(nèi)存進程后,以設(shè)定的昵稱和原始密碼進入事先準備好的頻道,攻擊者也會隨時登錄它;

第四步:攻擊者向Bot進行控制身份認證,Bot經(jīng)過核實然后進入預(yù)備狀態(tài),等待該控制者發(fā)出命令后進行預(yù)先設(shè)定的攻擊;

第五步:Bot截取已核實為控制者發(fā)送的所有信息,如果該信息為攻擊命令則開始攻擊。

三、僵尸網(wǎng)絡(luò)的危害

僵尸網(wǎng)絡(luò)組建了一個進行攻擊和控制Bot的復(fù)雜的平臺,通過該平臺能夠用控制Bot的方法發(fā)起多種類全方位的攻擊行為,導(dǎo)致大面積的基礎(chǔ)公眾網(wǎng)和銀行、交通等重要系統(tǒng)的崩潰,而且能夠造成國家機密、科研機密、商業(yè)機密以及個人隱私被他人掌握,同時也可以被網(wǎng)絡(luò)詐騙等違法犯罪活動利用。以下介紹的是已經(jīng)廣泛應(yīng)用的僵尸網(wǎng)絡(luò)用來發(fā)動的攻擊性行為。

(一)Dos

使用僵尸網(wǎng)絡(luò)發(fā)動拒絕服務(wù)攻擊是目前最廣泛運用的攻擊方式之一,攻擊者能夠給本身所操縱的任何Bot發(fā)送指令,讓它們在某些預(yù)先設(shè)定的時間內(nèi)一齊連續(xù)地向指定的網(wǎng)絡(luò)主機或服務(wù)器發(fā)送訪問請求,能夠有效地進行拒絕服務(wù)攻擊。由于僵尸網(wǎng)絡(luò)可以通過木馬病毒的方式傳播以增加Bot的數(shù)量,所以它的規(guī)?？梢詿o限擴大,而且通過僵尸網(wǎng)絡(luò)進行的拒絕服務(wù)攻擊有很好的同步性,所以它所進行的拒絕服務(wù)攻擊會有更大的破壞力,而且更加難以防范。

(二)非法利用資源

僵尸網(wǎng)絡(luò)被攻擊者用來進行大量網(wǎng)絡(luò)資源的消耗活動,降低用戶的網(wǎng)絡(luò)帶寬等各項性能,還會造成經(jīng)濟上的損失;它常常被用作散播廣告性軟件,通過該軟件,被控制者的瀏覽器自動進入某些商業(yè)性網(wǎng)站從而使控制者賺取廣告費;它可以控制主機使主機在不知情的情況下存儲非法數(shù)據(jù)。

(三)窺視隱私和盜取賬號

僵尸網(wǎng)絡(luò)的控制者可以從Bot中窺探用戶的個人隱私和各種關(guān)鍵信息,如用戶賬號、密碼、銀行卡號等。而且病毒程序可以用sniffer等數(shù)據(jù)截取工具來探測對自己有利的網(wǎng)絡(luò)流量數(shù)據(jù),以便獲得網(wǎng)絡(luò)流量中的秘密。

(四)發(fā)送垃圾郵件

Bot可以通過開通sockv4和sockv5代理來利用僵尸網(wǎng)絡(luò)發(fā)送大量的垃圾郵件,而且控制者也能夠通過簡單的步驟隱藏本身的IP地址。

四、新型僵尸網(wǎng)絡(luò)

2009年,互聯(lián)網(wǎng)上新出現(xiàn)的僵尸網(wǎng)絡(luò)的攻擊手段更加多樣化。僵尸網(wǎng)絡(luò)的控制在空間上的距離和范圍也分布得更加廣闊。新技術(shù)的產(chǎn)生很好地增強了僵尸網(wǎng)絡(luò)的的效率以及機動性。更多的正常企業(yè)和公司的網(wǎng)站被僵尸網(wǎng)絡(luò)攻擊,影響到了它們的核心競爭力,甚至被盜取了商業(yè)機密。

最近出現(xiàn)的僵尸網(wǎng)絡(luò)的攻擊一般采用管理程序技術(shù)。管理程序技術(shù)是一種模仿計算機系統(tǒng)的管理程序使得操作系統(tǒng)無法識別的工具。管理程序可以對很多主機上的CPU和資源進行操縱。雖然所有操作系統(tǒng)都會顯示本身的CPU和資源,但是攻擊者的計算機或者服務(wù)器對它的控制卻無法顯示出來。下面是最新的幾種僵尸網(wǎng)絡(luò)的技術(shù)。

(一)BHO控件的利用

BHO控件也成為最新的僵尸網(wǎng)絡(luò)的突破口。Object,是MS公司于1999年底發(fā)布的IE對第三方編程人員開放交互式接口的標準。第三方程序通過它可以用自創(chuàng)代碼響應(yīng)接收IE的事件,用來獲得IE行為和組件的信息,甚至進一步控制IE的行為。該控件其實也是IE擴展接口組件,其本質(zhì)仍然是動態(tài)鏈接庫。它和其他接口組件的區(qū)別是其他的擴展接口要用到某些用戶的手動操作,如單擊菜單、工具條上的按鈕,輸入網(wǎng)頁地址等觸發(fā)性的動作才會被瀏覽器加載,而該控件不同,當瀏覽器啟動的時候, BHO就會被瀏覽器加載而無需任何條件來觸發(fā)它。另外該控件還可以監(jiān)視瀏覽器的各類消息。瀏覽器劫持就是利用了這個漏洞,本質(zhì)上就是指引瀏覽器通過一條錯誤的路線的現(xiàn)象。惡意程序通過該控件來修改用戶的IE,使得用戶從普通的網(wǎng)頁跳轉(zhuǎn)到惡意網(wǎng)頁,一般用戶在受害的同時無法察覺。IObject2 WithSite和IDispatch是該控件的擴展接口,其中IObjectWithSite是用來獲得IE控制權(quán)的接口,而IDispatch接口則是用來監(jiān)聽IE的事件的接口。

這種方法也常常被應(yīng)用于用BHO控件來控制僵尸網(wǎng)絡(luò),它們的區(qū)別是過去的僵尸網(wǎng)絡(luò)是用Bot控制其他主機,而這種方法是用BHO插件來控制其他主機。但BHO控件之間不具備傳染性,它的端口和進程都無需打開,隨瀏覽器的打開而啟動,有很強的隱蔽性。一般來說防火墻都無法阻止它的進入并且沒有任何提示,普通的計算機使用者就更加不會注意。當被攻擊者的機器被攻擊者植入帶有BHO插件木馬的病毒后,BHO進入到IE中,然后和IE綁定在一起,無時無刻不控制著IE,從而使其變成攻擊傀儡群中的一分子。控制者現(xiàn)在要做的就是把其他惡意代碼放到已被完全操縱的計算機傀儡群中,由剛被植入BHO插件木馬的傀儡群來自動下載,然后發(fā)出攻擊指令。至此,整個僵尸網(wǎng)絡(luò)鏈構(gòu)建成功。

(二)音頻格式文件的利用

此外,還有很多過去認為無法跟僵尸網(wǎng)絡(luò)產(chǎn)生關(guān)系的程序或者文件也慢慢淪為僵尸利用的武器。如音頻文件過去一般認為都是可靠的。但是我國微機病毒應(yīng)急處理中心于2008年8月31日上午宣布,在例行的對互聯(lián)網(wǎng)信息內(nèi)容的監(jiān)測中最新發(fā)現(xiàn)一種蠕蟲病毒,它能夠感染電腦系統(tǒng)中的音頻文件(如wma等),計算機使用者需小心防范。專家稱,該蠕蟲并沒有破壞被感染的音頻信息文件讓其無法正常播放,而是會使該音頻信息文件所存放的系統(tǒng)主動登錄指定的網(wǎng)頁服務(wù)器來下載木馬和病毒等惡意程序,最后使得該計算機系統(tǒng)成為網(wǎng)絡(luò)僵尸的一員。

(三)PDF格式文件的利用

同樣的命運最近也降臨在PDF格式的文件身上。4月初防病毒網(wǎng)站已經(jīng)發(fā)出警告說有控制者利用PDF文件的內(nèi)部漏洞,將特定的惡意程序加入到PDF的內(nèi)部信息中,然后利用郵件來散布,當用戶打開該PDF文件的時候,便會被加入病毒木馬等程序以擴大僵尸網(wǎng)絡(luò)的范圍?？刂普咚玫木褪怯嬎銠C安全研究人員于3月底找到的PDF的缺陷。因為PDF文件格式允許用戶嵌入各種內(nèi)容,如視頻、音頻等,而且PDF文件格式中的Launch功能能夠用來執(zhí)行應(yīng)用程序,這就使得控制者可以利用其相關(guān)功能在PDF中加入惡意代碼。不過從嚴格意義上來說這個問題并不是安全漏洞,只是PDF格式的一種功能。對于這個發(fā)現(xiàn),Adobe公司表示,這次事件說明了不當使用某些功能會帶來潛在的風險,該公司會發(fā)布最佳解決方案并且通過更新來進行修補。不過,在其還未進行更新時,就已經(jīng)有控制者運用以上的方法來進行惡意代碼的嵌入,已經(jīng)有很多PDF文件的使用者受害,被植入了Zeus僵尸網(wǎng)絡(luò)程序。在美國已經(jīng)有超過300萬臺電腦被Zeus感染,它最主要的用途是盜取使用者計算機中的機密和隱私信息,這是至今第一個利用PDF文件漏洞來擴展勢力范圍的僵尸網(wǎng)絡(luò)。

(四)Web2.0網(wǎng)站的感染

越來越多的文件格式成為僵尸網(wǎng)絡(luò)的傳播方式,更令人擔憂的是,最近幾年才發(fā)展起來的Web 2.0網(wǎng)站也成了重災(zāi)區(qū)。僵尸網(wǎng)絡(luò)對web2.0網(wǎng)站在2009年間進行了大量的攻擊和操縱。Twitter、谷歌閱讀等服務(wù)器都曾經(jīng)被用做垃圾郵件發(fā)起攻擊的頁面,因為它們可以用來來逃脫電子郵件的地址篩選。最近一段時間,谷歌的很多服務(wù)器主機都曾經(jīng)被用來作為僵尸網(wǎng)絡(luò)代理服務(wù)器以便操控各主機; 2009年底有專家指出,Zeus僵尸網(wǎng)絡(luò)入侵并破壞亞馬遜云操控的服務(wù)。這些主流論壇被用來發(fā)布混合編碼指令,以便在全球范圍散播僵尸網(wǎng)絡(luò)。

五、僵尸網(wǎng)絡(luò)的防御

不管是初期的各種Bot的客戶端,還是現(xiàn)在的運用各種掛木馬等方式進行工作的新型的僵尸網(wǎng)絡(luò),要想做到對于它們的全面徹底的防御,就必須通過結(jié)合網(wǎng)絡(luò)和主機的各種防護手段,實現(xiàn)各個層次的防御。

(一)網(wǎng)絡(luò)層面

不管是老式的Bot程序還是最新的僵尸網(wǎng)絡(luò)的通信,都必須通過各個端口來實現(xiàn)。絕大部分的Bot都使用端口6667和其他數(shù)值較大的端口(比如31856和65432)。大于1024號的所有端口應(yīng)該設(shè)置為禁止Bot程序進入,除非你確定有特殊的應(yīng)用程序要用到某個特定的端口,即使這樣,你也應(yīng)該對這個端口制定嚴格的通信政策如“只在某些時間打開”。

僵尸網(wǎng)絡(luò)常常是在早上7點之前發(fā)布命令或者升級的,因為這個時候進行工作很少會被人發(fā)現(xiàn)。所以要養(yǎng)成在每天第一次登錄計算機就查看系統(tǒng)日志的習慣,如果你發(fā)現(xiàn)在沒有人上網(wǎng)的情況下卻有瀏覽網(wǎng)頁等異?；顒?就應(yīng)該立刻著手進行檢查。

(二)主機層面

從主機層面來說,選擇的安全產(chǎn)品必須有多重的防御手段,要做到不成為僵尸網(wǎng)絡(luò)的客戶端。該主機客戶端要包含以下的功能:防火墻——用來阻斷飽和式攻擊和非法的鏈接,殺毒軟件——消滅后門、木馬等病毒程序。還要有對系統(tǒng)及時更新補丁的習慣。

實際上系統(tǒng)資源占用量過大是實現(xiàn)桌面安全客戶端的難點問題。由于安全功能的多重性,企業(yè)類的用戶一般會使用兩個或多個廠商的安全類產(chǎn)品,通常情況下這樣會造成沖突、占用較多的資源和使得管理方式復(fù)雜化,而且各個廠商的安全產(chǎn)品之間會存在一些技術(shù)上的間隙,能使蠕蟲、木馬等惡意程序乘虛而入。

六、結(jié)語

僵尸網(wǎng)絡(luò)并不是牢不可破的。面對僵尸網(wǎng)絡(luò)的威脅,我們應(yīng)該從網(wǎng)絡(luò)和主機這兩個層面來著手解決,而這兩個層面所采用的安全產(chǎn)品和安全技術(shù)要能夠阻斷僵尸網(wǎng)絡(luò)攻擊和傳播的每一條途徑,這樣就能夠阻止僵尸網(wǎng)絡(luò)的危害,構(gòu)造良好的網(wǎng)絡(luò)環(huán)境,提高互聯(lián)網(wǎng)的安全性。

[1]縱鑫,李玉德.“僵尸網(wǎng)絡(luò)”的危害、特點及新型控制方式[J].法制與社會,2008,(12下).

責任編輯:崔海英

Abstract:In recent years,botnet has becom ingmore and more harm ul.Its types inc lude IRC BOT,AOL BOT and P2PBOT,etc.It is changing faster and faster,but its structure hasnot changed a lot.Itcan used basi2 cally by five step s.Them ain trend of botnet is to sp read by keep ing using system p lugs-in,new file form ats and W EB2.0 system.So long aswe pay attention to the all-around guard atnetwork and host,we can control the bot2 net.

Keywords:botnet;harm;new type;file form at

The New Developm en t of Botnet

Sun Xu
(D epartm en t of PoliceM anagem en t,Ra ilw ay Po lice Co llege,Zhengzhou 450053,Ch ina)

D631

C

1009-3192(2010)06-0024-04

2010-08-28

孫栩,男,江蘇淮安人,中國人民公安大學(xué)2009級高校教師計算機應(yīng)用技術(shù)專業(yè)碩士研究生,鐵道警官高等?？茖W(xué)校警察管理系助教。