王 暢，戴 航，孫啟祿

(西北工業(yè)大學(xué)自動(dòng)化學(xué)院控制與網(wǎng)絡(luò)研究所，西安 710072)

1 引言

在過(guò)去的幾年里，智能手機(jī)的發(fā)展非常迅猛。為了最大化表現(xiàn)移動(dòng)設(shè)備的硬件特性，越來(lái)越多的智能手機(jī)上都運(yùn)行了功能完善的操作系統(tǒng)。比如Linux，Windows Mobile，Android 以及Symbian OS，這使得智能手機(jī)在軟件環(huán)境上越來(lái)越近似于桌面電腦，一些桌面電腦系統(tǒng)上的軟件漏洞以及安全問(wèn)題同樣也存在于智能手機(jī)上。智能手機(jī)在人們生活和工作中變得越來(lái)越重要的同時(shí)，也成為了黑客攻擊的新目標(biāo)，而僵尸網(wǎng)絡(luò)(Botnet)就是一種現(xiàn)實(shí)的安全威脅。

在傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域，Botnet是指一群數(shù)量很大的、通過(guò)不同的方式(例如:溢出漏洞、蠕蟲(chóng)郵件、口令猜測(cè)、P2P 共享等)被攻擊者植入了僵尸程序(Bot)的計(jì)算機(jī)，可以使攻擊者無(wú)須登錄到這些計(jì)算機(jī)就可以方便的控制它們，進(jìn)行下一步的例如DDoS、發(fā)送垃圾信息或者收集大量用戶數(shù)據(jù)的攻擊行為，Botnet 可以集中控制、可以相互通信［2］。

論文在研究Botnet 控制方式的基礎(chǔ)上，對(duì)于Botnet 在智能手機(jī)平臺(tái)上的傳播、控制和攻擊方式進(jìn)行了研究，著重分析了使用SMS 對(duì)智能手機(jī)平臺(tái)Botnet 進(jìn)行控制的方式。本文第二章主要對(duì)桌面電腦上的Botnet 進(jìn)行了概述和分析;第三章結(jié)合Botnet的傳播特性分析了智能手機(jī)平臺(tái)上Botnet 傳播和控制的可行性及其危害性，重點(diǎn)描述了通過(guò)SMS 對(duì)其進(jìn)行控制的實(shí)現(xiàn)原理;第四章對(duì)于現(xiàn)有的一些防御方式在智能手機(jī)Botnet 中的適用性進(jìn)行了闡述。

2 僵尸網(wǎng)絡(luò)概述

Botnet 可以追溯到90年代，第一個(gè)Bot是Unix系統(tǒng)下的Eggdrop，它能夠幫助用戶方便的使用IRC聊天網(wǎng)絡(luò)，這種Bot的功能是良性的，出于服務(wù)的目的。但是這種設(shè)計(jì)的思路卻被黑客們利用，設(shè)計(jì)出帶有惡意的Bot 程序。1999年11 月出現(xiàn)的SubSeven 木馬成功地運(yùn)用IRC 協(xié)議控制感染SubSeven 木馬的主機(jī)，是第一個(gè)真正意義上的Bot 程序。一般來(lái)說(shuō)，Botnet 具有高度的可控制性，卻沒(méi)有很好的傳播性。然而2003年以后，Bot 開(kāi)始和蠕蟲(chóng)結(jié)合在一起，從而加強(qiáng)了它的傳播性，使Bot 從被動(dòng)傳播轉(zhuǎn)變?yōu)橹鲃?dòng)傳播，從而可以快速的構(gòu)建起大規(guī)模的Botnet，比較著名的有2004年爆發(fā)的AgoBot/GaoBot 和rBot/SpyBot。同一年出現(xiàn)了基于AgoBot的PhatBot，開(kāi)始獨(dú)立使用P2P 信道構(gòu)建控制信道。此后，Bot程序的種類迅速增加，技術(shù)也越來(lái)越成熟，并且具有更強(qiáng)的傳播性和攻擊性。利用Botnet 發(fā)送垃圾郵件、發(fā)動(dòng)DDoS 攻擊，以及收集用戶私密資料或者從事非法商業(yè)犯罪活動(dòng)的事件越來(lái)越多，Botnet 受到了更多的關(guān)注。

綜合現(xiàn)在對(duì)Botnet的研究，根據(jù)其控制方式的不同，可以粗略將Botnet 分為三類。

2.1 集中控制

這是大多數(shù)Bot 采用的控制方式。如常見(jiàn)的IRC Botnet、HTTP/AOL Botnet 都屬于這類，其特點(diǎn)是每個(gè)Bot 客戶端(Botclient)都直接從Bot Master得到命令和控制，這是最常見(jiàn)、最成熟的控制模型。

2.2 分布式控制

這類Bot 采用P2P 控制模型，Bot Master 通過(guò)分布式散列表(Distributed Hash Table，DHT)發(fā)布控制命令，控制命令在Bot 之間傳播。該類Bot的優(yōu)點(diǎn)是不存在單點(diǎn)失效，缺點(diǎn)是相對(duì)復(fù)雜。目前只有采用WASTE 協(xié)議的Phabot 等少數(shù)Bot 采用這種模型。P2P 控制模型是發(fā)展的趨勢(shì)，很多對(duì)于Botnet的研究都集中于此。

2.3 隨機(jī)(Random)控制

隨機(jī)控制Bot 只是一個(gè)理論模型，仍停留在理論研究階段。Bot 采用隨機(jī)掃描方式進(jìn)行命令傳播，但實(shí)際還沒(méi)有相應(yīng)的Bot 產(chǎn)品。

表1 總結(jié)了三類Botnet的控制方式、實(shí)現(xiàn)難度、威脅程度、傳播方式的特點(diǎn)。

表1 三類Botnet的特點(diǎn)

由表1 可知，在三種方式中隨機(jī)掃描仍停留在理論研究階段;集中控制方式雖然容易實(shí)現(xiàn)，但是很容易通過(guò)網(wǎng)絡(luò)檢測(cè)對(duì)其進(jìn)行防御;相對(duì)于集中控制方式來(lái)說(shuō)，分布式控制雖然實(shí)現(xiàn)難度較大，但難以檢測(cè)，是Botnet 控制方式發(fā)展的趨勢(shì)，也是攻擊者研究的熱點(diǎn)。

3 僵尸網(wǎng)絡(luò)對(duì)智能手機(jī)的威脅分析

隨著智能手機(jī)在人們生活中的地位變的越來(lái)越重要，絕大部分的移動(dòng)設(shè)備用戶都會(huì)將一些重要的個(gè)人資料存儲(chǔ)在智能手機(jī)中;其次，智能手機(jī)的發(fā)展使其進(jìn)一步的融合其它技術(shù)，例如:游戲、視頻、文件共享以及網(wǎng)頁(yè)瀏覽。因此，在桌面電腦上一些發(fā)展成熟的攻擊方式也可以用來(lái)攻擊移動(dòng)設(shè)備。雖然現(xiàn)在智能手機(jī)的處理能力在不斷增強(qiáng)，但是相對(duì)于桌面電腦來(lái)說(shuō)還是非常有限的，因此一些在桌面電腦上現(xiàn)存的安全防范措施和檢測(cè)機(jī)制無(wú)法直接應(yīng)用于智能手機(jī)，這一矛盾的存在使得智能手機(jī)更加容易受到攻擊，而無(wú)法受到有效的防護(hù)［1］。

通常Botnet 需要感染一群數(shù)量足夠大的主機(jī)節(jié)點(diǎn)，并且可以方便的接受攻擊者的控制命令才可以進(jìn)行下一步的破壞行為。因此Botnet 在智能手機(jī)上的傳播和生存需要以下兩個(gè)條件:①Bot 程序可以在智能手機(jī)之間進(jìn)行傳播;②攻擊者可以方便的對(duì)智能手機(jī)上的僵尸網(wǎng)絡(luò)進(jìn)行控制。Botnet 在智能手機(jī)上的傳播和控制過(guò)程如圖1 所示，下面分別進(jìn)行分析。

圖1 Botnet 在智能手機(jī)上的傳播和控制

3.1 傳播方式

如圖1 所示，對(duì)于智能手機(jī)來(lái)說(shuō)，除了傳統(tǒng)傳播方式，例如軟件/系統(tǒng)漏洞等方式以外，Bot 還可以通過(guò)在移動(dòng)網(wǎng)絡(luò)上借助于SMS，MMS，電子郵件等進(jìn)行傳播，或者使用藍(lán)牙模塊等本地?zé)o線方式進(jìn)行傳播。封裝有Bot 或者包含指向惡意網(wǎng)站鏈接的電子郵件、SMS/MMS 消息、通過(guò)藍(lán)牙模塊發(fā)送的惡意程序，在誘騙用戶操作后，可以方便的將Bot 安裝到智能手機(jī)上。

2004年在Symbian 手機(jī)平臺(tái)發(fā)現(xiàn)的Cabir 蠕蟲(chóng)［2］，就是通過(guò)藍(lán)牙進(jìn)行傳播的。該蠕蟲(chóng)通過(guò)一個(gè)名為caribe.sis 文件進(jìn)行傳播，請(qǐng)求用戶安裝該文件。一旦該蠕蟲(chóng)被成功安裝，會(huì)立刻開(kāi)始尋找范圍內(nèi)開(kāi)啟了藍(lán)牙模塊的智能手機(jī)。當(dāng)一個(gè)目標(biāo)手機(jī)被定位后，該蠕蟲(chóng)會(huì)立刻鎖定目標(biāo)，并且嘗試多次發(fā)送caribe.sis 文件，試圖成功感染目標(biāo)手機(jī)。Cabir的變種“Mabir.A”除了繼續(xù)利用藍(lán)牙模塊進(jìn)行傳播，也可以通過(guò)MMS 進(jìn)行傳播。顯然，類似于Cabir 和Mabir.A 之類的蠕蟲(chóng)程序可以方便的嵌入Bot，實(shí)現(xiàn)Bot的植入、傳播和Botnet的構(gòu)建。

通過(guò)智能手機(jī)系統(tǒng)漏洞進(jìn)行蠕蟲(chóng)傳播的成功率一般要高于誘使用戶操作進(jìn)行感染的成功率，但是，一個(gè)不可忽視的問(wèn)題是:許多智能手機(jī)采用的操作系統(tǒng)都是閉源的，要在這樣的智能手機(jī)上找到一個(gè)可以利用的系統(tǒng)漏洞難度較大。近年來(lái)，開(kāi)源系統(tǒng)在手機(jī)平臺(tái)上日益普及，最典型的一個(gè)開(kāi)源平臺(tái)是Google 公司發(fā)布的Android 系統(tǒng)，而Android 系統(tǒng)內(nèi)核是基于Linux的，Linux 本身存在的一些漏洞依然不同程度的存在于Android 系統(tǒng)中，這為基于系統(tǒng)漏洞的蠕蟲(chóng)傳播提供了便利?？梢灶A(yù)見(jiàn)，通過(guò)開(kāi)源智能手機(jī)系統(tǒng)中的漏洞進(jìn)行傳播必然會(huì)成為Bot 傳播的重要方式。

3.2 控制手段

攻擊者需要用適宜的方式與感染了Bot的主機(jī)或智能手機(jī)進(jìn)行通信，發(fā)布攻擊命令并對(duì)其進(jìn)行管理。可以用來(lái)在智能手機(jī)系統(tǒng)上控制Botnet的方式有三種，下面分別進(jìn)行分析。

3.2.1 傳統(tǒng)方式

當(dāng)前，智能手機(jī)可以通過(guò)各種技術(shù)輕易的訪問(wèn)Internet，尤其是如UMTS 等高速3G 網(wǎng)絡(luò)的日益普及，一些在傳統(tǒng)網(wǎng)絡(luò)上成熟的Botnet 控制技術(shù)就可以用于智能手機(jī)的Botnet 控制。最典型的如P2P控制方式就可以較好的應(yīng)用于移動(dòng)通信網(wǎng)絡(luò)。在［5］中，作者提出使用P2P 方式對(duì)Botnet 進(jìn)行控制的方法，可以有效避免攻擊者被檢測(cè)和屏蔽。

另一種行之有效的方式是采用第三方服務(wù)器進(jìn)行代理控制操作。Botnet 控制者(Master)可以通過(guò)基于Web 服務(wù)器的方式對(duì)Botnet 進(jìn)行控制，以此來(lái)減少Botnet 控制者的網(wǎng)絡(luò)流量，減小控制者被定位的概率。這類Bot 主動(dòng)連接到服務(wù)器進(jìn)行升級(jí)以及接收命令，常用于通過(guò)時(shí)間觸發(fā)的攻擊。這種方法的一個(gè)典型應(yīng)用是借助于社交網(wǎng)絡(luò)服務(wù)(SNS，Social Network Service)，Bot 可以通過(guò)類似微博這類社交網(wǎng)站接收控制，只需要在這樣的社交網(wǎng)絡(luò)服務(wù)中關(guān)注某人，通過(guò)他發(fā)布的廣播消息、簽名或者其它一些信息來(lái)接收控制命令。這樣的方法使得Botnet 控制者對(duì)于Botnet的控制更為便捷，方便規(guī)避一些網(wǎng)絡(luò)上的檢測(cè)方法。

3.2.2 本地?zé)o線網(wǎng)絡(luò)控制

現(xiàn)在，幾乎所有智能手機(jī)都配備有藍(lán)牙通信模塊和802.11 無(wú)線模塊。這就使得通過(guò)本地?zé)o線網(wǎng)絡(luò)對(duì)Botnet 進(jìn)行控制是可以實(shí)現(xiàn)的。通過(guò)藍(lán)牙模塊對(duì)Botnet 進(jìn)行控制，可以完全避免使用傳統(tǒng)方法進(jìn)行控制所遇到的問(wèn)題和瓶頸。例如:攻擊者容易被定位，或者控制指令容易被檢測(cè)系統(tǒng)屏蔽等。當(dāng)然，通過(guò)藍(lán)牙模塊對(duì)Botnet 進(jìn)行控制的弊端也很明顯，首先，藍(lán)牙設(shè)備的通信非常受距離的限制;其次，藍(lán)牙設(shè)備的帶寬也非常有限，隨著某一地點(diǎn)Botnet 感染密度的上升，將會(huì)使本地藍(lán)牙設(shè)備的資源緊張，使Botnet 接收控制命令的難度加大。

使用802.11 模塊對(duì)Botnet 進(jìn)行控制，可以有效的解決藍(lán)牙模塊受距離限制較大的問(wèn)題。并且，由于該設(shè)備可以和無(wú)線網(wǎng)絡(luò)接入點(diǎn)(WAP，Wireless Access Point)相連，攻擊者就很容易構(gòu)建一個(gè)Botnet控制中心。如此一來(lái)，既可以方便的管理智能手機(jī)上的Botnet，也可以將其做為Botnet的一部分，協(xié)同傳統(tǒng)互聯(lián)網(wǎng)上的其它Botnet 對(duì)Internet 發(fā)動(dòng)攻擊。顯然，通過(guò)Internet 發(fā)出指令，使得智能手機(jī)上的Botnet 僅對(duì)移動(dòng)網(wǎng)絡(luò)發(fā)動(dòng)攻擊也變的十分便利。

3.2.3 SMS 控制

手機(jī)短信是人們普遍采用的一種交流和溝通方式，同樣可用來(lái)進(jìn)行Botnet 控制。雖然智能手機(jī)可以通過(guò)軟件對(duì)短信進(jìn)行基于關(guān)鍵詞的過(guò)濾，但是短信做為移動(dòng)通信網(wǎng)絡(luò)的攻擊方式，還沒(méi)有得到足夠的重視，人們對(duì)于短信的防范并不嚴(yán)格。并且，相對(duì)于其它控制方式來(lái)說(shuō)，SMS的優(yōu)點(diǎn)很明顯，主要體現(xiàn)在以下幾個(gè)方面:

(1)通用性:做為最基本的移動(dòng)服務(wù)之一，每一部手機(jī)都可以提供SMS 服務(wù)。

(2)容錯(cuò)率:如果接收端不在線，SMS 消息會(huì)先存儲(chǔ)在服務(wù)器上，等接收端上線后再進(jìn)行發(fā)送。

(3)低功耗:相對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行控制的方式，SMS 服務(wù)的耗電量小，比較適合在本身資源有限的智能手機(jī)平臺(tái)上進(jìn)行長(zhǎng)時(shí)間的控制。

(4)隱秘性:安全專家難以對(duì)SMS 進(jìn)行監(jiān)控，并且無(wú)法通過(guò)SMS 定位攻擊者。

SMS的用戶數(shù)據(jù)［9］區(qū)采用7－bits 編碼時(shí)，最多可以發(fā)送160個(gè)字符，因?yàn)榇嬖谶@樣的數(shù)據(jù)冗余，因而將Bot 控制信息隱藏進(jìn)用戶數(shù)據(jù)段是可行的。

為了使得BotClient 可以從SMS 消息中解碼得到控制命令而不被智能手機(jī)用戶發(fā)覺(jué)，需要在SMS傳輸?shù)诫娫拰又斑M(jìn)行截獲和處理。

其中SMS 消息分為兩種格式:SMS_SUBMIT 和SMS_DELIVER。前者是指SMS 消息從手機(jī)端發(fā)送到SMSC 服務(wù)器(Short Message Service Center)。后者是指SMS 消息從SMSC 服務(wù)器發(fā)送到手機(jī)端。根據(jù)Collin Mulliner 和Charlie Miller的研究［6］，可以在電話層的底層與硬件驅(qū)動(dòng)之間插入稱之為“Injector”的一層，從而可以發(fā)動(dòng)中間人攻擊(Man－in－the－ middle Attack，MITMA)。如圖2 所示，Botnet控制者，也完全可以利用插入的這層實(shí)現(xiàn)對(duì)Botnet的控制［3］。在SMS 傳輸至用戶層之前進(jìn)行攔截，實(shí)現(xiàn)對(duì)SMS 消息的解碼和分析，從中獲得Botnet 控制者發(fā)布的控制命令等信息。

圖2 SMS 攔截處理層結(jié)構(gòu)

Bot 層工作流程如圖3 所示，實(shí)現(xiàn)的關(guān)鍵步驟如下所述。

(1)Bot 層監(jiān)聽(tīng)來(lái)自modem 層的所有通信，并對(duì)其進(jìn)行判斷。如果是SMS 消息則進(jìn)行解碼，反之傳遞給電話層。

(2)對(duì)SMS 消息進(jìn)行解碼后，驗(yàn)證其中的加密碼，判斷是否Bot 控制信息，如果是則進(jìn)行分析;反之傳遞給電話層。

(3)分析后，查找是否含有控制命令，如果含有控制命令，則執(zhí)行;反之，退出處理流程(退出對(duì)用戶不可見(jiàn))。

該控制方式是一種“單一SMS”控制方式，而要構(gòu)建起完整的Botnet，需要在不同智能手機(jī)間進(jìn)行協(xié)同操作。典型的通過(guò)“單一SMS”控制方式實(shí)現(xiàn)的Botnet 網(wǎng)絡(luò)架構(gòu)如圖4 所示。

圖3 Bot 層工作流程

圖4 “單一SMS”控制方式的Botnet 網(wǎng)絡(luò)架構(gòu)

如圖4 所示，整個(gè)架構(gòu)分為3 層:

·Bot 控制者(Bot Master):位于最高層，控制一部分稱為哨兵bot的智能手機(jī)，它只將Botnet的控制信息發(fā)送給這些哨兵B(niǎo)ot。

·哨兵B(niǎo)ot(Sentinel Bot):位于中間層，每一個(gè)哨兵bot 控制一批稱為“從屬Bot”的智能手機(jī)，接收來(lái)自Bot 控制者的控制信息，并將其轉(zhuǎn)發(fā)給下層從屬Bot。

·從屬Bot(Slave Bot):位于底層，每一個(gè)從屬Bot 只接受來(lái)自某一哨兵bot的控制信息，并且執(zhí)行這些控制命令(例如:發(fā)送垃圾郵件、DDoS 攻擊)。不與Bot 控制者直接通信。

通過(guò)這樣的網(wǎng)絡(luò)分層結(jié)構(gòu)，Bot 控制者只需要給少量的哨兵bot 發(fā)送控制信息，因此可以有效降低流量，規(guī)避安全系統(tǒng)的檢測(cè)，提高自身隱秘性。從屬Bot 被劃分為更小的單元集合，也加大了檢測(cè)的難度。當(dāng)然其缺點(diǎn)也很明顯，比如Bot 控制者需要智能手機(jī)終端列表，才能檢查整個(gè)Botnet的完整性;修復(fù)或升級(jí)Bot Client 難度較大。

為了解決“單一SMS”控制方式的不足，可以采用“SMS－ HTTP”混合方式［8］對(duì)Botnet 進(jìn)行控制。其工作流程如圖5 所示。

圖5 “SMS－HTTP”混合控制方式流程

“SMS－HTTP”混合控制方式的特點(diǎn)是，引入了Web 服務(wù)器。與“單一SMS”控制方式相比，智能手機(jī)的角色分類仍然為三層結(jié)構(gòu);不同是，對(duì)于哨兵bot的控制信息不再直接包含控制命令，而是包含一個(gè)URL 地址;哨兵B(niǎo)ot 在收到該消息后，會(huì)連接到指定的服務(wù)器獲取下一步的控制指令，再將此指令發(fā)送給從屬Bot。

3.3 攻擊方式和威脅

在Bot 成功傳播并實(shí)現(xiàn)對(duì)目標(biāo)手機(jī)的控制之后，可以進(jìn)行不同方式的惡意攻擊，攻擊方式和威脅包括以下幾個(gè)方面。

1)垃圾信息

智能手機(jī)上的垃圾信息不僅包括E－mail 垃圾郵件，還包括SMS/MMS 垃圾信息。攻擊者除了可以利用這種方法發(fā)送廣告進(jìn)行牟利，還可以利用垃圾郵件傳播更為惡性的病毒等網(wǎng)絡(luò)安全威脅。

2)DDoS 攻擊

文獻(xiàn)［10］的研究表明:智能手機(jī)平臺(tái)的Botnet因?yàn)榫W(wǎng)絡(luò)帶寬和感染數(shù)量的原因，還不能發(fā)動(dòng)大規(guī)模的DDoS 攻擊。但是，隨著移動(dòng)手機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的進(jìn)一步融合，智能手機(jī)上的DDoS 攻擊不僅能對(duì)手機(jī)網(wǎng)絡(luò)造成危害，還可以協(xié)同互聯(lián)網(wǎng)上的桌面電腦Botnet 對(duì)傳統(tǒng)互聯(lián)網(wǎng)絡(luò)造成危害。

3)信息竊取

隨著智能手機(jī)存儲(chǔ)能力的提高，一些個(gè)人信息存儲(chǔ)在智能手機(jī)中(例如:信用卡信息，聯(lián)系人名單等)。Bot Master 可以通過(guò)竊取這類個(gè)人信息從中牟利。

4)用戶定位

通過(guò)智能手機(jī)全球定位系統(tǒng)(Golbal Positioning System，GPS)模塊，可以使Bot Master 對(duì)于用戶的地理位置進(jìn)行定位。

5)手機(jī)欺詐

隨著電視節(jié)目中手機(jī)投票方式的興起，以及手機(jī)電子商務(wù)的發(fā)展，攻擊者可能利用Botnet 進(jìn)行投票從中獲得利益;或者很多網(wǎng)站都可以通過(guò)手機(jī)進(jìn)行捐贈(zèng)，攻擊者完全可以制作這樣類型的網(wǎng)絡(luò)，控制手機(jī)訪問(wèn)該網(wǎng)站進(jìn)行捐贈(zèng)，從而牟利。因?yàn)锽otnet被感染終端的數(shù)量巨大，即使捐贈(zèng)數(shù)量很小的金額，對(duì)于攻擊者來(lái)說(shuō)也是獲益匪淺，并且這樣小額數(shù)量的捐贈(zèng)很難引起終端用戶的關(guān)注。

4 智能手機(jī)上僵尸網(wǎng)絡(luò)的安全防御

Botnet的防御方式可以從手機(jī)終端和網(wǎng)絡(luò)兩個(gè)層面著手。其中在手機(jī)終端防御方面主要是通過(guò)關(guān)閉不必要的通信信道，例如藍(lán)牙模塊、無(wú)線模塊等，或者安裝殺毒、入侵檢測(cè)軟件來(lái)實(shí)現(xiàn)。鑒于智能手機(jī)性能以及電池續(xù)航時(shí)間的限制，在智能手機(jī)終端的防御顯的力不從心。而網(wǎng)絡(luò)層面的防御方法，由于不存在手機(jī)終端性能的瓶頸，更為實(shí)用。

1)網(wǎng)絡(luò)層面的檢測(cè)

在移動(dòng)網(wǎng)絡(luò)中部署相應(yīng)的入侵檢測(cè)系統(tǒng)，對(duì)于網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行基于簽名匹配的檢測(cè)，可以較為有效的防止Botnet的傳播。例如，MMS 在發(fā)送過(guò)程中，MMS 代理服務(wù)器為了保證在Internet 上的正確傳輸，會(huì)將其轉(zhuǎn)換為標(biāo)準(zhǔn)的MIME 格式，并在存儲(chǔ)到MMS 服務(wù)器之前做相反的轉(zhuǎn)換，因此在轉(zhuǎn)換過(guò)程中使用檢測(cè)手段對(duì)其進(jìn)行檢測(cè)，可以防止惡意程序通過(guò)MMS 進(jìn)行傳播。這類部署于網(wǎng)絡(luò)層面的檢測(cè)方式，對(duì)于防治基于傳統(tǒng)控制方式的Botnet 比較有效，而如果Botnet的通信隱藏在合法的通信(例如SMS/MMS 等)中，就將難以檢測(cè)和定位。一般的Botnet 都有預(yù)先自定義的私有通信控制命令結(jié)構(gòu)，如果掌握了這類信息，就可以通過(guò)對(duì)通信流量的檢測(cè)，采用特征簽名匹配的方式，對(duì)Botnet 進(jìn)行檢測(cè)和分析。不過(guò)這樣的方式需要預(yù)先掌握Botnet的特征簽名，在當(dāng)前智能手機(jī)上Bot 等惡意程序較少而且技術(shù)相對(duì)簡(jiǎn)單的條件下具有一定的實(shí)用價(jià)值，而對(duì)于類似上文所述的SMS 構(gòu)建控制系統(tǒng)的新型Botnet的防治并不能發(fā)揮太大的效果。

2)網(wǎng)絡(luò)流量監(jiān)控

Botnet的控制方式具有比較鮮明的特點(diǎn)，大量僵尸客戶端(BotClient)會(huì)連接到同一個(gè)控制與命令服務(wù)器(IRC/Web Botnet)、監(jiān)聽(tīng)同一端口或同一范圍內(nèi)的端口(P2P Botnet)。這使得通過(guò)流量監(jiān)控檢測(cè)Botnet 成為可能，通過(guò)監(jiān)聽(tīng)這些端口和服務(wù)器的數(shù)據(jù)流量，可以得知哪些終端被感染，并能進(jìn)一步獲得Botnet 拓?fù)鋱D。

3)網(wǎng)絡(luò)控制信道的利用和污染

Bot Master 要實(shí)現(xiàn)對(duì)Botnet的控制，需要借助于某種控制信道。在對(duì)Botnet 監(jiān)測(cè)和分析的基礎(chǔ)上，安全人員通過(guò)破解Botnet 通信信道的密碼，實(shí)現(xiàn)對(duì)整個(gè)Botnet的控制和利用。這樣安全人員可以通過(guò)利用整個(gè)Botnet的控制權(quán)，掌握整個(gè)Botnet 系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D，實(shí)現(xiàn)對(duì)被感染手機(jī)的定位或者發(fā)送自毀命令，并可以進(jìn)一步對(duì)信道密碼進(jìn)行修改和污染，使得Bot Master 失去對(duì)整個(gè)Botnet的控制。

5 結(jié)束語(yǔ)

相對(duì)于Internet 上Botnet的發(fā)展，智能手機(jī)平臺(tái)上的Botnet 滯后了7－8年［6］。但是，隨著智能手機(jī)的性能提升和移動(dòng)網(wǎng)絡(luò)的寬帶化，Internet 上越來(lái)越多的成熟技術(shù)可以移植到智能手機(jī)平臺(tái)上。移動(dòng)網(wǎng)絡(luò)和Internet 日益呈現(xiàn)融合化趨勢(shì)，這使得其中一個(gè)網(wǎng)絡(luò)上的安全威脅同樣也會(huì)影響另外一個(gè)網(wǎng)絡(luò)的正常運(yùn)行。本文對(duì)智能手機(jī)上Botnet的傳播、控制和攻擊方式的分析已經(jīng)證實(shí)了Botnet 在智能手機(jī)上的傳播具備了充足條件，并且引起了黑客的關(guān)注，已經(jīng)進(jìn)入迅速發(fā)展時(shí)期。同時(shí)，對(duì)智能手機(jī)上Botnet的防御僅僅停留在“亡羊補(bǔ)牢”的階段，并不能實(shí)現(xiàn)有效的主動(dòng)防御，迫切需要引起更多的關(guān)注和進(jìn)行深入的研究。

［1］M Hypponen.The state of cell phone malware in 2007［R］.http://www.usenix.org/events/sec07/tech/hypponen.pdf.

［2］Graig A Schiller，Jim Binkley，Gadi Evron，et al.Botnets:The Killer Web App［M］.Andrew Williams，Syngress，2007.

［3］Georgia Weidman.Transparent Botnet Command and Control for Smartphones over SMS［R］.Shmoocon 2011.Read 2011.2.20 http://www.grmn00bs.com/Shmoocon2011_SmartphoneBotnets_GeorgiaW.pdf.

［4］Anne Ruste Fl，Audun J sang.Consequences of Botnets Spreading to Mobile Devices［J/OL］.Short－ Paper Proceedings of the 14th Nordic Conference on Secure IT Systems.Oslo.2009.10.

［5］Lasse Trolle Borup.Peer－to－peer Botnets:A case study on Waledac［J/OL］.http://orbit.dtu.dk/getResource?recordId=241876＆objectId=1＆versionId=1.

［6］Norman ASA.Mobile phone threats hype or (finally)truth Security Articles Archive，2009［DB/OL］.2010.11.http://www.norman.com/security_center/security_center_archive/2009/67174/en.

［7］Collin Mulliner，Charlie Miller.Fuzzing the Phone in your Phone［R］.Las Vegas.Black Hat USA 2009.2009.6.25.

［8］Collin Mulliner.Jean－ Pierre Seifet.Rise of the iBots:Owning a telco network［J］.5th IEEE International Conference on Malicious and Unwanted Software(MALWARE)，Nancy，F(xiàn)rance，2010.10.

［9］Patrick Traynor，Michael Lin，et al.On Cellular Botnets:Measuring the Impact of Malicious Devices on a Cellular Network Core［R］.ACM Conference on Computer and Communications Security(CCS)，2009.11.http://www.patrickmcdaniel.org/pubs/ccs09b.pdf.

［10］Phillip Porras，Hassen Saidi，et al.An Analysis of the iKee.B iPhone Botnet［J/OL］.In Proceedings of the 2nd International ICST Conference on Security and Privacy on Mobile Information and Communications System(Mobisec)，2010.5.

［11］Yuanyuan Zeng，Xin Hu，et al.Design of SMS Commanded－ and Controlled and P2P－ Structured Mobile Botnets［J/OL］.www.eecs.umich.edu/techreports/cse/2010/CSE－TR－562－10.pdf.

［12］W Enck，P Traynor，et al.Exploiting open functionality in sms－ capable cellular networks［R］.In Proceedings of the 12th ACM Conference on Computer and Communications Security.

［13］Papathanasiou C，Percoco N.This is not the droid you're looking for…［R］.Defcon 18，2010.8.www.defcon.org/.../DEFCON－ 18－ Trustwave－ Spiderlabs－Android－Rootkit－WP.pdf.