徐 建

(南京郵電大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南京 210023)

一種基于SMS的移動(dòng)僵尸網(wǎng)絡(luò)的設(shè)計(jì)及分析

徐 建

(南京郵電大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南京 210023)

僵尸網(wǎng)絡(luò)是計(jì)算機(jī)重要的安全威脅。隨著智能手機(jī)的發(fā)展，這一安全威脅出現(xiàn)在智能手機(jī)上?，F(xiàn)在手機(jī)中毒已成為普遍現(xiàn)象，在研究了手機(jī)傳播病毒方式的基礎(chǔ)上，對(duì)移動(dòng)僵尸網(wǎng)絡(luò)的傳播、命令控制機(jī)制以及控制協(xié)議進(jìn)行了深入研究，分別分析了結(jié)構(gòu)化和非結(jié)構(gòu)化的拓?fù)浣Y(jié)構(gòu)，用示例來(lái)描述如何將SMS信息的C&C通道與P2P的拓?fù)浣Y(jié)構(gòu)相結(jié)合，對(duì)基于SMS的移動(dòng)僵尸網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)和分析。對(duì)于移動(dòng)僵尸網(wǎng)絡(luò)這種新型的手機(jī)病毒攻擊模式將會(huì)嚴(yán)重影響人們的生活，因此必須不斷地研究、發(fā)現(xiàn)各種威脅手機(jī)的行為。

移動(dòng)僵尸網(wǎng)絡(luò)；命令控制；P2P；拓?fù)浣Y(jié)構(gòu)

0 引 言

僵尸網(wǎng)絡(luò)的建立和防御一直是很多研究人員關(guān)注的熱點(diǎn)問(wèn)題，它是網(wǎng)絡(luò)中最嚴(yán)重的安全威脅之一。僵尸網(wǎng)絡(luò)是攻擊者所掌握的一種攻擊平臺(tái)，攻擊者利用各種手段傳播僵尸程序，將大量主機(jī)感染成僵尸機(jī)，并通過(guò)命令與控制信道操縱這些僵尸機(jī)，實(shí)施分布式拒絕服務(wù)攻擊、垃圾郵件發(fā)送以及敏感信息竊取等惡意行為[1]。雖然它們?cè)诂F(xiàn)實(shí)中沒(méi)有造成大面積的爆發(fā)，但近年來(lái)攻擊蜂窩網(wǎng)絡(luò)設(shè)備的數(shù)量在不斷增長(zhǎng)并逐漸成熟。隨著智能手機(jī)的發(fā)展，例如：Iphone、安裝了安卓系統(tǒng)的手機(jī)等，它們下載和共享的第三方應(yīng)用程序及用戶(hù)生成的內(nèi)容急劇增加，使得智能手機(jī)很容易受到各種類(lèi)型惡意軟件的破壞。大多數(shù)智能手機(jī)上都安裝了具有多功能的操作系統(tǒng)，比如Linux，Windows Mobile，IOS，Android以及Symbian OS等。安裝了系統(tǒng)的智能手機(jī)在運(yùn)行環(huán)境中越來(lái)越近似于PC機(jī)，但安全保護(hù)卻遠(yuǎn)遠(yuǎn)比不上PC機(jī)，這也誘導(dǎo)了犯罪。在安卓市場(chǎng)已有許多有關(guān)惡意應(yīng)用程序的報(bào)道[2]。由于安卓平臺(tái)的策略是要求開(kāi)發(fā)者自己簽署自己的應(yīng)用程序，因此攻擊者很容易將惡意軟件放入市場(chǎng)中。而蘋(píng)果應(yīng)用商店控制它的應(yīng)用就很?chē)?yán)格，但不包含已“越獄”的蘋(píng)果產(chǎn)品，它可以安裝任何應(yīng)用，并在后臺(tái)運(yùn)行進(jìn)程。

現(xiàn)在科研人員針對(duì)傳統(tǒng)僵尸網(wǎng)絡(luò)的研究已比較全面，如僵尸網(wǎng)絡(luò)威脅[3]、僵尸網(wǎng)絡(luò)分類(lèi)[4]、僵尸網(wǎng)絡(luò)模型[5]、僵尸網(wǎng)絡(luò)控制策略[6]和僵尸網(wǎng)絡(luò)檢測(cè)[7]等。然而針對(duì)智能手機(jī)的移動(dòng)僵尸網(wǎng)絡(luò)的研究才剛起步，如基于SMS短信信道建立的移動(dòng)僵尸網(wǎng)絡(luò)[8]、基于藍(lán)牙通信建立的移動(dòng)僵尸網(wǎng)絡(luò)[9]、基于無(wú)線(xiàn)網(wǎng)絡(luò)的移動(dòng)僵尸網(wǎng)絡(luò)[10]等。

早期的僵尸網(wǎng)絡(luò)主要是利用IRC協(xié)議、HTTP協(xié)議來(lái)建立，比如Rbot和Zeus[11]等,僵尸機(jī)與僵尸主控機(jī)之間主要是C/S結(jié)構(gòu)?，F(xiàn)在看來(lái)這種經(jīng)典的結(jié)構(gòu)存在兩個(gè)致命的弱點(diǎn)：很容易產(chǎn)生單點(diǎn)失效的問(wèn)題；僵尸主控機(jī)很容易被發(fā)現(xiàn)，而且一旦發(fā)現(xiàn)，整個(gè)網(wǎng)絡(luò)都將癱瘓。

隨著網(wǎng)絡(luò)的不斷發(fā)展，P2P技術(shù)的出現(xiàn)，基于P2P技術(shù)的僵尸網(wǎng)絡(luò)也應(yīng)運(yùn)而生。因此文中從P2P技術(shù)出發(fā)，比較了幾種P2P的拓?fù)浣Y(jié)構(gòu)，建立基于SMS控制的移動(dòng)僵尸網(wǎng)絡(luò)模型。

1 移動(dòng)僵尸網(wǎng)絡(luò)的研究

主要是由攻擊者通過(guò)感染大量的移動(dòng)智能終端(多指手機(jī))，利用移動(dòng)互聯(lián)網(wǎng)平臺(tái)搭建命令控制信道,進(jìn)行遠(yuǎn)程控制使其進(jìn)入特定受控狀態(tài)的移動(dòng)智能終端群,稱(chēng)之為移動(dòng)僵尸網(wǎng)絡(luò),又名手機(jī)僵尸網(wǎng)絡(luò)[12]。在移動(dòng)互聯(lián)網(wǎng)中，移動(dòng)智能終端是主要的消息傳輸介質(zhì)，版本多、操作系統(tǒng)多樣、支持業(yè)務(wù)種類(lèi)多,因此僵尸網(wǎng)絡(luò)在移動(dòng)互聯(lián)網(wǎng)上的傳播具有多樣性并很難統(tǒng)一控制,安全事件的檢測(cè)與追蹤比互聯(lián)網(wǎng)更加困難。由于移動(dòng)網(wǎng)絡(luò)升級(jí)很快,GSM、3G、LTE的網(wǎng)絡(luò)制式不僅在迅速升級(jí),同時(shí)還存在著不同制式的網(wǎng)絡(luò)并網(wǎng)的問(wèn)題。因此,移動(dòng)智能終端必須支持多種網(wǎng)絡(luò)制式的協(xié)議。智能終端操作系統(tǒng)頻繁更新，產(chǎn)品的硬件環(huán)境同樣更新頻繁。移動(dòng)終端用戶(hù)群具有業(yè)務(wù)遷移迅速和多變等特性。但這里所談的移動(dòng)智能終端主要是以智能手機(jī)為主，而智能手機(jī)的操作系統(tǒng)是以Android和IOS最常見(jiàn)。由于蘋(píng)果公司的產(chǎn)品并沒(méi)有完全開(kāi)源，因此文中研究主要是基于A(yíng)ndroid系統(tǒng)。從傳播、C&C的通道、拓?fù)浣Y(jié)構(gòu)三個(gè)方面來(lái)研究移動(dòng)僵尸網(wǎng)絡(luò)。

1.1 移動(dòng)僵尸網(wǎng)絡(luò)的傳播

移動(dòng)僵尸網(wǎng)絡(luò)傳播的目的是為了不斷增加感染手機(jī)的數(shù)量，構(gòu)建更大的僵尸網(wǎng)絡(luò)，而且所有的傳播機(jī)制都是在用戶(hù)不知情的情況下完成的，并帶有一定的攻擊性的行為?，F(xiàn)在所使用的智能手機(jī)頻繁訪(fǎng)問(wèn)互聯(lián)網(wǎng)，成為惡意攻擊的目標(biāo)。因此垃圾郵件和SMS/MMS消息的惡意附件，或指向惡意網(wǎng)站的網(wǎng)址，可以方便地找到并進(jìn)入手機(jī)的收件箱。用戶(hù)有意無(wú)意會(huì)打開(kāi)附件或點(diǎn)擊這些網(wǎng)址下載惡意程序。攻擊者侵入了用戶(hù)的手機(jī)就可以獲得大量的電話(huà)號(hào)碼，而一般使用的電話(huà)號(hào)碼與個(gè)人信息都是緊密相連的，這樣將會(huì)泄露大量的個(gè)人信息。據(jù)2013年6月卡巴斯基實(shí)驗(yàn)室的最新報(bào)告顯示，其“首次發(fā)現(xiàn)了黑客通過(guò)使用不同的移動(dòng)惡意軟件來(lái)創(chuàng)建僵尸網(wǎng)絡(luò)并以此來(lái)傳播惡意軟件的案例”。該僵尸網(wǎng)絡(luò)由Obad.a和Opfake.a程序搭配組成，用戶(hù)一旦安裝了該程序后將導(dǎo)致Android設(shè)備受感染并使得惡意軟件得到大面積的傳播。卡巴斯基稱(chēng)，Android木馬程序Backdoor.AndroidOS.Obad.a是惡意軟件的罪魁禍?zhǔn)?。一位名為Roman Unuchek的卡巴斯基實(shí)驗(yàn)室專(zhuān)家寫(xiě)道，Obad.a采用了入侵Android常用的方式，如短消息服務(wù)(即短信)、垃圾信息、假冒Google Play商店，以及被黑掉的或不可信的Android軟件下載站點(diǎn)等,其最新的伎倆則使得該木馬比普通的Android木馬更具傳染性。在實(shí)際情況中，Obad.a是與另一個(gè)手機(jī)木馬SMS.AndroidOS.Opfake.a一起傳播的。這個(gè)木馬使用了入侵Android的常用方式并偽裝為一個(gè)用戶(hù)想要下載的應(yīng)用程序。一旦用戶(hù)被種下該木馬病毒，Opfake.a就會(huì)利用Google云消息服務(wù)(GCM)給用戶(hù)發(fā)送一條短信，短信內(nèi)容如下：彩信已發(fā)送成功，請(qǐng)點(diǎn)擊www.otkroi.com下載。如果用戶(hù)點(diǎn)擊了這個(gè)鏈接，一個(gè)名為mms.apk的文件就會(huì)自動(dòng)下載到用戶(hù)的智能手機(jī)或平板電腦上，該文件中包含有Opfake.a程序。而后，用戶(hù)如果選擇運(yùn)行這個(gè)應(yīng)用程序，那么僵尸網(wǎng)絡(luò)的命令和控制服務(wù)器就能夠給該木馬發(fā)送指令，向用戶(hù)設(shè)備上的所有聯(lián)系人發(fā)送以下消息：您有一條新彩信，請(qǐng)點(diǎn)擊http://otkroi.net/12下載。一旦用戶(hù)點(diǎn)擊這個(gè)鏈接并下載彩信，那么Obad.a就會(huì)被自動(dòng)加載到mms.apk或mmska.apk的文件名下。用戶(hù)如果運(yùn)行了這些程序，其就將成為Obad.a的一個(gè)傳播網(wǎng)絡(luò)。據(jù)Unuchek介紹，一家俄羅斯大型移動(dòng)運(yùn)營(yíng)商的統(tǒng)計(jì)數(shù)據(jù)表明，“在短短5個(gè)小時(shí)內(nèi)，就有600條帶有Trojan-SMS.AndroidOS.Opfake.a木馬的短消息被成功發(fā)送。多數(shù)情況下這些短消息都由受感染的移動(dòng)設(shè)備發(fā)出，而此前黑客就曾利用短信網(wǎng)關(guān)做了幾次類(lèi)似的病毒傳播。另一方面，目前只有少數(shù)設(shè)備受到Opfake.a的感染，Opfake.a會(huì)通過(guò)發(fā)送鏈接讓用戶(hù)下載Obad.a程序，因此可以得出一個(gè)結(jié)論，即該惡意木馬的創(chuàng)建者是通過(guò)租用部分移動(dòng)僵尸網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)對(duì)惡意軟件的傳播。而這導(dǎo)致的最終結(jié)果，就是使得該僵尸網(wǎng)絡(luò)能夠迅速傳播Opfake.a和Obad.a程序[13]。另一種傳播方式可以利用藍(lán)牙功能，移動(dòng)手機(jī)用戶(hù)通過(guò)藍(lán)牙搜索配對(duì)附近的設(shè)備，在連接成功后傳播惡意軟件。還有可能通過(guò)與PC機(jī)連接感染惡意軟件，在自己安裝手機(jī)系統(tǒng)時(shí)被感染。惡意軟件的傳播是無(wú)孔不入的，但最主要的感染方式大都是通過(guò)系統(tǒng)的漏洞進(jìn)行傳播。

1.2 命令與控制

當(dāng)前主要使用的僵尸網(wǎng)絡(luò)命令與控制機(jī)制包括:基于IRC協(xié)議的命令與控制機(jī)制、基于HTTP協(xié)議的命令與控制機(jī)制,以及基于P2P協(xié)議的命令與控制機(jī)制[14]。

1.2.1 基于IRC協(xié)議的命令與控制機(jī)制

IRC協(xié)議是早期因特網(wǎng)廣泛使用的一種基于C/S模式的實(shí)時(shí)網(wǎng)絡(luò)聊天協(xié)議,用戶(hù)通過(guò)客戶(hù)端連接到服務(wù)器上,服務(wù)器可以連接多個(gè)客戶(hù)端，所有客戶(hù)端通過(guò)服務(wù)器互相連接構(gòu)成龐大的IRC聊天網(wǎng)絡(luò),可以將用戶(hù)的消息通過(guò)聊天網(wǎng)絡(luò)發(fā)送到目標(biāo)用戶(hù)或用戶(hù)群。用戶(hù)可以選擇加入自己感興趣的頻道，在同一頻道中，用戶(hù)可以向所有其他用戶(hù)發(fā)送消息，也可以單獨(dú)給某一個(gè)用戶(hù)發(fā)送。攻擊者正是利用了IRC協(xié)議的簡(jiǎn)單、低延遲、匿名的實(shí)時(shí)通信方式，設(shè)計(jì)了基于IRC協(xié)議的命令與控制機(jī)制。攻擊者可以通過(guò)IRC服務(wù)器向僵尸機(jī)發(fā)送各種命令，其中比較經(jīng)典的兩條命令是advscan lsass 20050-r-s和http.update http:/server/rBot.exe c: Bot.exe 1。主要目的是利用lsass漏洞，開(kāi)始隨機(jī)掃描；后一個(gè)是下載rBot.exe文件到C盤(pán)并執(zhí)行。

1.2.2 基于HTTP協(xié)議的命令與控制機(jī)制

基于HTTP協(xié)議的命令與控制機(jī)制是近年來(lái)另外一種流行的基于C/S架構(gòu)的僵尸網(wǎng)絡(luò)控制機(jī)制。攻擊者通過(guò)HTTP網(wǎng)站，發(fā)布命令腳本，僵尸機(jī)通過(guò)HTTP協(xié)議訪(fǎng)問(wèn)該網(wǎng)站的網(wǎng)頁(yè)，然后根據(jù)該腳本進(jìn)行相應(yīng)的操作。它的使用具有兩個(gè)方面的優(yōu)勢(shì)：首先，隱蔽性好，在大量的互聯(lián)網(wǎng)Web流量中，它的活動(dòng)很難被檢測(cè)；其次，HTTP協(xié)議的控制和通信流量能輕易地穿越防火墻，而IRC協(xié)議所使用的端口就比較容易被過(guò)濾。這種方式也有它的缺點(diǎn)，只有當(dāng)僵尸機(jī)訪(fǎng)問(wèn)服務(wù)器網(wǎng)頁(yè)時(shí)，才能獲得控制者發(fā)布的命令，因此在實(shí)時(shí)控制方面比較弱。

目前,比較典型的HTTP協(xié)議構(gòu)建命令與控制機(jī)制的僵尸程序有Bobax、Rustock、Clickbot等。如Bobax僵尸程序,被植入僵尸程序的主機(jī)會(huì)偽裝成瀏覽器來(lái)訪(fǎng)問(wèn)指定服務(wù)器上的某個(gè)網(wǎng)頁(yè)，類(lèi)似于“http://hostname/reg?u=[8-digit host id]&v=114”的一個(gè)URL,如果連接成功,則僵尸網(wǎng)絡(luò)控制器將反饋這個(gè)請(qǐng)求,并在返回內(nèi)容中包含攻擊者發(fā)出的控制命令,Bobax僵尸程序就會(huì)從返回信息中解析出命令并執(zhí)行,Bobax僵尸程序接收的命令包括:下載更新程序(upd)、執(zhí)行程序(exe)、掃描主機(jī)(scn)、停止擴(kuò)散掃描(scs)、發(fā)送垃圾郵件(prj)、報(bào)告網(wǎng)絡(luò)連接速度(spd)等。

1.2.3 基于P2P協(xié)議的命令與控制機(jī)制

基于IRC協(xié)議和HTTP協(xié)議的命令與控制機(jī)制都是建立在C/S架構(gòu)下的，都是通過(guò)中心服務(wù)器來(lái)控制的，這樣的結(jié)構(gòu)一旦防御者獲得僵尸程序，它們就能很容易地找到中心服務(wù)器的位置，將給整個(gè)僵尸網(wǎng)絡(luò)帶來(lái)毀滅性的破壞。為了增加僵尸網(wǎng)絡(luò)的韌性和隱蔽性，許多僵尸程序采用了P2P協(xié)議構(gòu)建其命令與控制機(jī)制。在基于P2P協(xié)議的僵尸網(wǎng)絡(luò)中，沒(méi)有中心控制點(diǎn)，攻擊者只需向一臺(tái)僵尸機(jī)發(fā)布命令，在僵尸網(wǎng)絡(luò)中的機(jī)器將會(huì)相互發(fā)布并執(zhí)行。常見(jiàn)的有Sinit、Phatbot、SpamThru、Nugeche、Peacomm等。這種命令與控制機(jī)制即使有部分僵尸機(jī)被破壞，也不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成嚴(yán)重的影響，因此對(duì)于建立的移動(dòng)僵尸網(wǎng)絡(luò)而言，更需要采用P2P協(xié)議的命令控制機(jī)制。由此，文中提出了利用SMS通信與P2P技術(shù)相結(jié)合的移動(dòng)僵尸網(wǎng)絡(luò)模型。

2 基于SMS控制的移動(dòng)僵尸網(wǎng)絡(luò)模型

2.1 SMS命令控制機(jī)制

SMS(短信服務(wù))是一種存儲(chǔ)、轉(zhuǎn)發(fā)服務(wù)。也就是說(shuō)，發(fā)送人始終是通過(guò)SMSC(短信服務(wù)中心)轉(zhuǎn)發(fā)到接收人的。如果接收人處于未連接狀態(tài)(可能電話(huà)已關(guān)閉)，則信息將暫存在SMSC，當(dāng)接收人再次連接時(shí)，再次發(fā)送。文中就是利用SMS作為命令控制信道建立移動(dòng)僵尸網(wǎng)絡(luò)，在感染的僵尸機(jī)和僵尸主機(jī)之間通過(guò)SMS進(jìn)行通信。在PC機(jī)中，僵尸網(wǎng)絡(luò)的C&C是基于IP來(lái)傳送，而智能手機(jī)與之不同，它很難建立和維護(hù)穩(wěn)定的基于IP的連接。主要原因是它一直處于移動(dòng)的狀態(tài),而且建立一個(gè)私有的IP地址連接到網(wǎng)絡(luò)比較困難。文中選擇短信作為C&C通道有它的優(yōu)勢(shì)。首先，SMS文本消息在所有應(yīng)用程序中是應(yīng)用最廣泛的，有超過(guò)80%的手機(jī)用戶(hù)發(fā)送和接收短信，只要手機(jī)一打開(kāi)，這個(gè)應(yīng)用就會(huì)處于活躍狀態(tài)。其次，如果手機(jī)關(guān)機(jī)或者在信號(hào)很弱的地區(qū)，SMS通信信息將會(huì)被存儲(chǔ)在服務(wù)中心，一旦開(kāi)機(jī)或者信號(hào)強(qiáng)烈時(shí)，還可以接收到此信息，因此很容易實(shí)現(xiàn)離線(xiàn)的僵尸機(jī)。第三，一些惡意的內(nèi)容很容易隱藏在SMS信息里。在日常生活中，絕大多數(shù)的手機(jī)都會(huì)收到垃圾信息，也許這些信息根本就無(wú)關(guān)緊要，但在收到信息的同時(shí)，控制僵尸機(jī)的命令已經(jīng)到達(dá)了你的手機(jī)，最理想的狀態(tài)就是在用戶(hù)不知情的情況下，讓手機(jī)安裝上設(shè)定好的僵尸代碼并執(zhí)行命令。當(dāng)前有許多種方式來(lái)發(fā)送和接收免費(fèi)的短信，因此在不影響短信息的情況下，將命令編碼寫(xiě)進(jìn)短信息里，就可以輕易地在手機(jī)后臺(tái)下載安裝控制命令。為了能更好地在手機(jī)之間進(jìn)行控制和通信，每個(gè)受控的手機(jī)上都會(huì)有一個(gè)8位的密碼，只有通過(guò)了密碼認(rèn)證的被控手機(jī)才能與其他被控手機(jī)進(jìn)行通信。當(dāng)手機(jī)接收到包含有C&C信息的短信時(shí)，它將會(huì)搜索其密碼和嵌入在信息里的命令。如果發(fā)現(xiàn)存在，手機(jī)將立即執(zhí)行此命令。

在移動(dòng)僵尸網(wǎng)絡(luò)中，由僵尸主控機(jī)分配到每個(gè)不同功能的子僵尸網(wǎng)絡(luò)的密碼是不相同的。例如，一個(gè)子僵尸網(wǎng)絡(luò)負(fù)責(zé)發(fā)送垃圾短信，而另一個(gè)子僵尸網(wǎng)絡(luò)專(zhuān)門(mén)竊取個(gè)人資料，并傳遞到惡意服務(wù)器。在同一個(gè)子僵尸網(wǎng)絡(luò)的所有僵尸機(jī)共享相同的密碼，這樣子僵尸網(wǎng)絡(luò)中的僵尸機(jī)，以及與僵尸主控機(jī)的溝通都很方便。當(dāng)然，若給每個(gè)僵尸機(jī)分配不同的密碼會(huì)更安全，但是這樣就會(huì)增加通信交換的開(kāi)銷(xiāo)，更容易被暴露。在每個(gè)SMS通信消息中不僅需要包含一個(gè)密碼，而且在編碼中的命令也不能讓用戶(hù)識(shí)別出來(lái)。在實(shí)際當(dāng)中，相比安卓系統(tǒng)，其他移動(dòng)平臺(tái)大都是閉源的，限制也很多，在用戶(hù)不知情的情況下，禁止發(fā)送和接收SMS信息。即使主要針對(duì)安卓系統(tǒng)，也需要對(duì)C&C信息進(jìn)行隱藏，要不很容易被防御者所捕獲和操縱。為了逃避防御者的檢測(cè)，要將命令嵌入在SMS信息里，要讓用戶(hù)看上去更像垃圾信息，這樣可以保證能安全地傳遞C&C。文獻(xiàn)[15]中指出，移動(dòng)運(yùn)營(yíng)商不能簡(jiǎn)單地阻止違法短信，因?yàn)榘l(fā)送方支付了信息費(fèi)用，當(dāng)這些信息不包含垃圾信息的文件時(shí)，運(yùn)營(yíng)商擔(dān)心永久刪除了合法的信息。即使運(yùn)營(yíng)商過(guò)濾了垃圾短信或類(lèi)似于電子郵件過(guò)濾，轉(zhuǎn)儲(chǔ)到垃圾郵件文件夾。垃圾短信通過(guò)目錄仍然可以到達(dá)目標(biāo)手機(jī)，再加上用戶(hù)會(huì)忽視垃圾郵件，這樣更有助于C&C的隱藏。

由于每個(gè)SMS消息只能包含有160個(gè)字符，因此隱藏在SMS信息里的C&C命令一定要簡(jiǎn)短。比如，“FIND_NODE”指示僵尸機(jī)返回特定節(jié)點(diǎn)的電話(huà)號(hào)碼；“SEND_SYSINFO”要求僵尸機(jī)返回系統(tǒng)信息。為了隱藏消息，每個(gè)命令都被映射到一個(gè)垃圾郵件模板。額外的信息，如電話(huà)號(hào)碼和前面提到的密碼模板變量都是64位編碼的[16]。如圖1所示，有兩個(gè)偽裝的短信。

圖1 偽裝的SMS信息

第一個(gè)是“FIND_NODE”信息(146個(gè)字符)，密碼是12345678，需要收件人來(lái)定位ID是7912034218110523的僵尸機(jī)，并將結(jié)果返回給號(hào)碼為(743)7096452的僵尸機(jī)。NzkxMjAzNDIxODExMDUyM183Mz和Q3MDk2NDUyXzEyMzQlNjc4，這兩個(gè)隨機(jī)字符串合在一起是64位的編碼，是由7912034218110523_7347096452_12345678加密形成。整個(gè)字符串分為兩個(gè)部分，一部分偽裝成錯(cuò)誤信息，另一部分當(dāng)作類(lèi)似于垃圾信息的代碼。第二個(gè)例子是“SEND_SYSINFO”信息(98個(gè)字符)，密碼是a2b4d11l。這個(gè)模板與“FIND_NODE”不同。密碼也是64位的編碼，密碼顯示在偽裝的信息里。每個(gè)僵尸機(jī)都為解碼信息保存著命令模板映射列表。由于在僵尸網(wǎng)絡(luò)中有數(shù)以萬(wàn)計(jì)的命令，因此這樣的列表不會(huì)太長(zhǎng)。為了增加檢測(cè)難度，一個(gè)命令消息可以對(duì)應(yīng)不同的垃圾信息模板，而且模板還可以定期更新。顯然，一個(gè)命令以及相關(guān)信息可以很容易地嵌入到SMS信息中，顯示給手機(jī)用戶(hù)的是他們熟悉的垃圾信息，因此他們很可能忽視這樣的信息，或者打開(kāi)并瀏覽。如果用戶(hù)選擇刪除這些信息，對(duì)整個(gè)僵尸網(wǎng)絡(luò)也沒(méi)有任何影響，因?yàn)槊钤谛畔⒔邮盏臅r(shí)候已經(jīng)執(zhí)行了。如果沒(méi)有監(jiān)視手機(jī)的行為或可逆工程，防御者也很難計(jì)算出垃圾信息模板和命令之間的映射關(guān)系。

用手機(jī)發(fā)送SMS信息，不僅可以在蜂窩網(wǎng)絡(luò)實(shí)現(xiàn)，還可以通過(guò)互聯(lián)網(wǎng)來(lái)發(fā)送。通過(guò)互聯(lián)網(wǎng)發(fā)送信息可以更好地隱瞞自己的身份，降低成本。因此在移動(dòng)僵尸網(wǎng)絡(luò)中，利用短信作為C&C是可行的。

2.2 移動(dòng)僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

前面主要描述了利用SMS來(lái)建立C&C的通道，還需要?jiǎng)?chuàng)建僵尸主控機(jī)與僵尸機(jī)之間的組織結(jié)構(gòu)。在研究現(xiàn)有的P2P拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，稍作修改來(lái)滿(mǎn)足移動(dòng)僵尸網(wǎng)絡(luò)的構(gòu)建。它與PC機(jī)的僵尸網(wǎng)絡(luò)類(lèi)似，無(wú)論是傳統(tǒng)的集中方法，還是在分散的P2P方法，都可以建立移動(dòng)僵尸網(wǎng)絡(luò)。在集中式的方法中，僵尸主控機(jī)直接將可執(zhí)行的代碼硬編碼到每個(gè)僵尸機(jī)，直接受它的控制。當(dāng)一個(gè)手機(jī)被感染成僵尸機(jī)時(shí)，就可以通過(guò)那些硬編碼接收和等待僵尸主控機(jī)的命令。像這種集中式的移動(dòng)僵尸網(wǎng)絡(luò)很容易實(shí)現(xiàn)，也很容易被破壞，一旦防御者獲得這個(gè)代碼，就可以追蹤到僵尸主控機(jī)，并禁用僵尸網(wǎng)絡(luò)。因此為了提高移動(dòng)僵尸網(wǎng)絡(luò)的魯棒性，采用了P2P的結(jié)構(gòu)。目前P2P的網(wǎng)絡(luò)結(jié)構(gòu)可以分為四類(lèi)：中心化拓?fù)浣Y(jié)構(gòu)、全分布式非結(jié)構(gòu)化拓?fù)浣Y(jié)構(gòu)、全分布式結(jié)構(gòu)化拓?fù)浣Y(jié)構(gòu)、半分布式拓?fù)浣Y(jié)構(gòu)。

第一類(lèi)，中心化拓?fù)浣Y(jié)構(gòu)維護(hù)簡(jiǎn)單，發(fā)現(xiàn)資源效率高，但是它依賴(lài)中心化的目錄系統(tǒng)，與傳統(tǒng)的C/S結(jié)構(gòu)類(lèi)似，很容易造成單點(diǎn)失效。使用此種結(jié)構(gòu)比較經(jīng)典的是Napster軟件。

第二類(lèi)，全分布式非結(jié)構(gòu)化拓?fù)浣Y(jié)構(gòu)是在重疊網(wǎng)絡(luò)(Overlay Network)采用隨機(jī)圖的組織方式，節(jié)點(diǎn)度數(shù)服從Power-law規(guī)律(冪次法則)，能夠很快發(fā)現(xiàn)目的節(jié)點(diǎn)，容錯(cuò)能力強(qiáng)，具有較好的可用性。一個(gè)典型的實(shí)現(xiàn)是Gnutella,它不是指一個(gè)軟件，而是遵守Gnutella協(xié)議的網(wǎng)絡(luò)和軟件的統(tǒng)稱(chēng)。

第三類(lèi)，全分布式結(jié)構(gòu)化拓?fù)浣Y(jié)構(gòu)主要是采用分布式散列表(Distributed Hash Table,DHT)技術(shù)來(lái)組織網(wǎng)絡(luò)中的節(jié)點(diǎn)。DHT能夠自適應(yīng)節(jié)點(diǎn)的動(dòng)態(tài)加入/退出，具有比較好的魯棒性和可擴(kuò)展性。只要在網(wǎng)絡(luò)中存在的節(jié)點(diǎn)，DHT都可以精確地發(fā)現(xiàn)它。

第四類(lèi)，半分布式拓?fù)浣Y(jié)構(gòu)也被一些學(xué)者稱(chēng)為混雜模式。它吸收了以上一些結(jié)構(gòu)的優(yōu)點(diǎn)，選擇性能較高的節(jié)點(diǎn)作為超級(jí)節(jié)點(diǎn)，在各超級(jí)節(jié)點(diǎn)上存儲(chǔ)系統(tǒng)中其他部分節(jié)點(diǎn)的信息，發(fā)現(xiàn)算法只在超級(jí)節(jié)點(diǎn)之間轉(zhuǎn)發(fā)，超級(jí)節(jié)點(diǎn)再將查詢(xún)請(qǐng)求轉(zhuǎn)發(fā)到適當(dāng)?shù)娜~子節(jié)點(diǎn)，這種轉(zhuǎn)發(fā)方式就是一種層次結(jié)構(gòu)，是建立在超級(jí)節(jié)點(diǎn)與普通節(jié)點(diǎn)之間構(gòu)成的若干層次。

為了能適應(yīng)移動(dòng)僵尸網(wǎng)絡(luò)的需要，可以將結(jié)構(gòu)化的和非結(jié)構(gòu)化的P2P結(jié)構(gòu)進(jìn)行修改。由于智能手機(jī)與電腦的差異，而且手機(jī)采用的是短信C&C通道，因此對(duì)全分布式結(jié)構(gòu)化拓?fù)浣Y(jié)構(gòu)的Kademlia進(jìn)行一些修改。

首先不使用PING消息來(lái)查詢(xún)節(jié)點(diǎn)，因?yàn)槎绦诺膫鬏斒强隙梢赃_(dá)到的，而且還可以減少C&C的流量，從而減少被手機(jī)用戶(hù)和防御者發(fā)現(xiàn)；其次，節(jié)點(diǎn)ID是由散列電話(huà)號(hào)碼構(gòu)成的，而不是隨機(jī)生成的；最后使用公鑰算法來(lái)確保命令的內(nèi)容。在發(fā)布命令時(shí)，僵尸主控機(jī)給命令附加一個(gè)數(shù)字簽名，這個(gè)簽名是僵尸主控機(jī)的私鑰，它是命令的散列值，其相應(yīng)的公鑰被硬編碼到每個(gè)僵尸機(jī)的二進(jìn)制碼中，這樣僵尸機(jī)在存儲(chǔ)命令時(shí)可以檢查是否真的來(lái)自于僵尸主控機(jī)。而對(duì)于非結(jié)構(gòu)化拓?fù)浣Y(jié)構(gòu)，為了減少短信的信息量，去除了單跳重復(fù)的方法。那是由于在短時(shí)間里頻繁接收/發(fā)送大量的短信，很容易被用戶(hù)發(fā)現(xiàn)。

2.3 SMS的C&C通道與P2P拓?fù)浣Y(jié)構(gòu)的結(jié)合

如何能夠清楚地認(rèn)識(shí)到利用SMS傳播C&C消息與結(jié)構(gòu)化的P2P拓?fù)浣Y(jié)構(gòu)的結(jié)合來(lái)適應(yīng)移動(dòng)僵尸網(wǎng)絡(luò)。美國(guó)密歇根大學(xué)的Zeng博士用了一個(gè)簡(jiǎn)單的例子來(lái)說(shuō)明命令發(fā)布和搜索的過(guò)程[16]。

如圖2所示，為了方便演示，節(jié)點(diǎn)ID和數(shù)據(jù)項(xiàng)的鍵長(zhǎng)都是四位的，發(fā)送的SMS信息沒(méi)有偽裝成垃圾郵件。在圖中，節(jié)點(diǎn)1111要輸入鍵0111。在Kademlia中，數(shù)據(jù)項(xiàng)存儲(chǔ)的節(jié)點(diǎn)ID接近于數(shù)據(jù)項(xiàng)的鍵。為了定位這些節(jié)點(diǎn)，節(jié)點(diǎn)1111先發(fā)送SMS信息到節(jié)點(diǎn)，這些節(jié)點(diǎn)在它的硬編碼節(jié)點(diǎn)列表上；這些節(jié)點(diǎn)幫助獲取在節(jié)點(diǎn)列表附近的節(jié)點(diǎn)。這個(gè)過(guò)程一直繼續(xù)，直到?jīng)]有節(jié)點(diǎn)能找到(這個(gè)過(guò)程圖中省略了)。最后，節(jié)點(diǎn)1111找到了最接近的節(jié)點(diǎn)0110(0110⊕0111=0001)，接著發(fā)布包含命令鍵(0111)的消息，將加密命令(XXXX)與密碼(8888)一起發(fā)送到節(jié)點(diǎn)0110。驗(yàn)證了預(yù)定義的密碼和命令之后，節(jié)點(diǎn)0110存儲(chǔ)這些信息，以便以后任何節(jié)點(diǎn)需要請(qǐng)求與0111鍵相關(guān)的命令，它能夠返回這些命令。至于搜索過(guò)程，它類(lèi)似于信息發(fā)布過(guò)程的描述。節(jié)點(diǎn)0000查找與0111鍵相關(guān)的命令，一定會(huì)找到一個(gè)節(jié)點(diǎn)，它的ID接近這個(gè)鍵。節(jié)點(diǎn)0000首先查找0010節(jié)點(diǎn)；節(jié)點(diǎn)0010指向節(jié)點(diǎn)0100；節(jié)點(diǎn)0100提供了最近的節(jié)點(diǎn)0110。節(jié)點(diǎn)0000聯(lián)系節(jié)點(diǎn)0110去請(qǐng)求命令。

圖2 發(fā)布與搜索

從這個(gè)例子可以很直觀(guān)地發(fā)現(xiàn)SMS的C&C通道與P2P拓?fù)浣Y(jié)構(gòu)的結(jié)合，以及在移動(dòng)僵尸網(wǎng)絡(luò)中的應(yīng)用。但這只是冰山一角，還有許多更深層次的應(yīng)用有待研究。

3 結(jié)束語(yǔ)

隨著智能手機(jī)的飛速發(fā)展，在潛在利益的驅(qū)使下，它們成為僵尸網(wǎng)絡(luò)攻擊的目標(biāo)。文中提出了一種SMS信息的C&C通道與P2P拓?fù)浣Y(jié)構(gòu)相結(jié)合的移動(dòng)僵尸網(wǎng)絡(luò)模型。攻擊者利用手機(jī)短信傳播C&C信息，以P2P結(jié)構(gòu)作為它的拓?fù)浣Y(jié)構(gòu)。分別對(duì)結(jié)構(gòu)化和非結(jié)構(gòu)化的拓?fù)浣Y(jié)構(gòu)進(jìn)行了分析，發(fā)現(xiàn)修改的Kademlia很適合在移動(dòng)僵尸網(wǎng)絡(luò)中應(yīng)用。今后對(duì)移動(dòng)僵尸網(wǎng)絡(luò)的研究要更加詳細(xì)和具體，不僅是如何建立，還要研究如何檢測(cè)、防御和破壞。

[1] 王海龍,唐 勇,龔正虎.僵尸網(wǎng)絡(luò)命令與控制信道的特征提取模型研究[J].計(jì)算機(jī)工程與科學(xué),2013,35(2)：62-67.

[2] Google yanks over 50 infected apps from android market[EB/OL].2011-03-02.http://www.computerworld.com/article/2506378/security0/google-yanks-over-50-infected-apps-from-android-market.html.

[3] Geer D.Malicious bots threaten network security[J].Computer,2005,38(1):18-20.

[4] 方濱興，崔 翔，王 威.僵尸網(wǎng)絡(luò)綜述[J].計(jì)算機(jī)研究與發(fā)展,2011,48(8)：1315-1331.

[5] Song Lipeng,Jin Zhen,Sun Guiquan.Modeling and analyzing of botnet interactions[J].Physica A,2011,390(2):347-358.

[6]SongLipeng,JinZhen,SunGuiquan.Influenceofremovabledevicesoncomputerworms:dynamicanalysisandcontrolstrategies[J].ComputersandMathematicswithApplications,2011,61(7):1823-1829.

[7]FeilyM,ShahrestaniA,RamadassS.Asurveyofbotnetandbotnetdetection[C]//Proceedingsofthe3rdinternationalconferenceondigitalobjectidentifier.Athens/Glyfada,Greece:IEEE,2009:268-273.

[8]HuaJingyu，SakuraiK.ASMS-basedmobilebotnetusingfloodingalgorithm[C]//Procofthe5thworkshopininformationsecurityandprivacy.Berlin:Springer,2011:264-279.

[9]SinghK，SangalS,JainN，etal.Evaluatingbluetoothasamediumforbotnetcommandandcontrol[C]//Procofthe7thinternationalconfondetectionofintrusionsandmalware，andvulnerabilityassessment.Berlin:Springer，2010:61-80.

[10]KnyszM,HuXin,ZengYuanyuan,etal.OpenWiFinetworks:lethalweaponsforbotnets?[C]//Procofthe31stannualIEEEinternationalconferenceoncomputercommunications.[s.l.]:IEEE,2012:2631-2635.

[11]BinsalleehH，OrmerodT，BoukhtoutaA，etal.OntheanalysisoftheZeusbotnetcrimewaretoolkit[C]//Procof2010 8thannualinternationalconferenceonprivacysecurityandtrust.Ottawa:[s.n.],2010:31-38.

[12] 李 躍.面向移動(dòng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D].成都：西南交通大學(xué)，2013.

[13] 銀河網(wǎng)安官網(wǎng).通過(guò)移動(dòng)僵尸網(wǎng)絡(luò)傳播驚現(xiàn)Android木馬病毒[EB/OL].2013-09-11.http://netsecurity.51cto.com/art/201309/410283.htm.

[14] 諸葛建偉，韓心慧，周勇林,等.僵尸網(wǎng)絡(luò)研究[J].軟件學(xué)報(bào)，2008,19(3)：702-715.

[15]Gsmalaunchessmsspamreportingservice[EB/OL].2010-03-25.http://www.pcworld.com/businesscenter/article/192469/gsmaJaunchesj3ms_spam_reporting_service.html.

[16]ZengY.Ondetectionofcurrentandnext-generationbotnets[D].Michigan:UniversityofMichigan,2012.

Design and Analysis of a SMS-based Mobile Botnet

XU Jian

(College of Computer Science,Nanjing University of Post and Telecommunications,Nanjing 210023,China)

Botnet is an important threat on computer security.As the development of smart phones,the security threats appeared on the smart phones.Now mobile phone infected virus has become a common phenomenon.Based on the research of mobile phone virus spreading on the way,the spread,command and control mechanisms,and control protocol of mobile botnet are studied in-depth,respectively analyzing the topology of structured and unstructured.Use example to describe how to combine SMS C&C and P2P structure.Based on the SMS mobile botnet,carry on the design and analysis.For mobile botnet,a new type of virus attack mode for mobile phone,will seriously affect people’s life,so the continuous study is done and the behavior of the various threats to mobile phones is found.

mobile botnet;C&C;P2P;topology

2015-01-27

2015-06-10

時(shí)間：2016-01-04

國(guó)家自然科學(xué)基金資助項(xiàng)目(61202353)；江蘇省高校自然科學(xué)研究資助項(xiàng)目(12KJB520008)；南京郵電大學(xué)實(shí)驗(yàn)室工作研究課題(2015XSG05)

徐 建(1980-)，男，碩士，工程師，研究方向?yàn)樾畔踩?、人工智能?/p>

http://www.cnki.net/kcms/detail/61.1450.TP.20160104.1453.002.html

TP309

A

1673-629X(2016)01-0106-05

10.3969/j.issn.1673-629X.2016.01.022