李可，方濱興，崔翔，劉奇旭，嚴志濤

?

基于Webshell的僵尸網(wǎng)絡研究

李可1,2，方濱興1，崔翔1,2，劉奇旭2，嚴志濤2

(1. 北京郵電大學計算機學院，北京 100876；2. 中國科學院信息工程研究所，北京 100093)

以Web服務器為控制目標的僵尸網(wǎng)絡逐漸興起，傳統(tǒng)命令控制信道模型無法準確預測該類威脅。對傳統(tǒng)Webshell控制方式進行改進，提出一種樹狀拓撲結構的信道模型。該模型具備普適和隱蔽特性，實驗證明其命令傳遞快速可靠?？偨Y傳統(tǒng)防御手段在對抗該模型時的局限性，分析該信道的固有脆弱性，提出可行的防御手段。

僵尸網(wǎng)絡；命令與控制；信道預測；Webshell

1 引言

僵尸網(wǎng)絡（botnet）是指通過入侵網(wǎng)絡空間內(nèi)若干非合作用戶終端構建的、可被攻擊者遠程控制的通用計算平臺[1]。其中，被感染的用戶終端稱之為僵尸主機（bot）；攻擊者指掌握僵尸主機資源，對其具有操控權力的控制者（botmaster）；遠程控制指攻擊者通過命令與控制（C&C, command and control）信道對僵尸主機進行一對多的操控。通過僵尸網(wǎng)絡所掌握的大量計算及信息資源，攻擊者可發(fā)起分布式拒絕服務攻擊（DDoS, distributed denial of service）、垃圾郵件（spam）、惡意軟件分發(fā)、點擊欺詐（click fraud）以及比特幣網(wǎng)絡攻擊等惡意活動[2,3]，給互聯(lián)網(wǎng)安全構成嚴重威脅。

僵尸網(wǎng)絡的發(fā)展經(jīng)歷了3個階段：早期僵尸網(wǎng)絡以個人計算機PC為感染目標；隨著智能手機的普及和通信技術的發(fā)展，移動僵尸網(wǎng)絡逐漸成為了工業(yè)和學術研究的新方向。而如今，在PC和手機終端防護日趨完善，僵尸主機生存面臨瓶頸的背景下，攻擊者將目光投向了互聯(lián)網(wǎng)中大量開放且脆弱的Web服務器[4]，根據(jù)NETCRAFT網(wǎng)站2015年11月發(fā)布的報告[5]顯示，全球面向Web服務的主機數(shù)達553萬臺, Web 站點數(shù)量超過9億個。賽門鐵克（Symantec）互聯(lián)網(wǎng)安全威脅研究報告[6]顯示，2014年全球網(wǎng)站中有76%存在安全漏洞，其中的20%存在高危漏洞。隨著CGI-PHP （CVE-2012-1823）、Structs2 （CVE 2013-2251）、“破殼”（CVE-2014-6271）等重量級漏洞的頻繁曝出，諸如Wopbot、TSUNAMI、BoSSaBoTv2等[7,8]以Web服務器為攻擊對象的僵尸網(wǎng)絡案例不斷出現(xiàn)，網(wǎng)站的服務及數(shù)據(jù)安全面臨著嚴峻的挑戰(zhàn)。

在Web服務器僵尸網(wǎng)絡的研究方向上，學術界尚未出現(xiàn)針對該應用背景的攻防研究。此外，工業(yè)界案例普遍存在感染過程復雜、依賴管理員/系統(tǒng)權限、通信信道脆弱的缺陷，難以廣泛實現(xiàn)和長期生存。這些已有案例未能針對Web服務的特性和對抗環(huán)境進行演化，該類型的僵尸網(wǎng)絡預測尚存在研究的空間。

基于以上事實，利用Webshell構建普適和隱蔽的僵尸網(wǎng)絡是一種新思路。如表1所示，同PC和移動僵尸網(wǎng)絡相比，Webshell僵尸網(wǎng)絡在終端防護、權限要求和數(shù)據(jù)資源上存在差異，可利用Web應用或服務漏洞自動化感染網(wǎng)絡中大量脆弱目標。此外，由于Webshell無法主動持續(xù)化運行、依靠外界請求執(zhí)行功能代碼，其命令下需采用主動推送的方式傳遞（如圖1和圖2所示）。上述因素導致了傳統(tǒng)中心結構和P2P結構僵尸網(wǎng)絡模型無法應用于Webshell管控。然而，已知的Webshell的控制方法在面向大規(guī)模場景下存在單點性能瓶頸，各感染節(jié)點協(xié)同工作能力較差，因此，需要提出一種更加高效和健壯的模型來預測此類僵尸網(wǎng)絡威脅。

表1 PC僵尸網(wǎng)絡、移動僵尸網(wǎng)絡與Webshell僵尸網(wǎng)絡對比

基于以上事實，本文提出一種基于樹狀層次化結構的Webshell僵尸網(wǎng)絡。該僵尸網(wǎng)絡不依賴固脆弱的命令控制資源，引入主機信譽評估和動態(tài)加密機制，具有良好的健壯性和隱蔽性。仿真實驗證明該僵尸網(wǎng)絡的命令傳遞高效可靠，可管理大規(guī)模Webshell。同時針對該僵尸網(wǎng)絡特點，本文提出了可行的防御方法。

2 相關工作

為了應對未來新型僵尸網(wǎng)絡的威脅，研究人員開展了大量僵尸網(wǎng)絡信道模型的預測。其中，非中心結構的僵尸網(wǎng)絡具有較好的抗毀能力，成為了研究人員關注的重點。Wang等[9]提出了一種新的混合型P2P僵尸網(wǎng)絡命令控制信道，該信道采用層次化結構，其初始化（bootstrap）過程不依賴硬編碼的節(jié)點名單（peer list）或特定域名資源，消除了單點失效，信道的命令傳輸過程采用非對稱密鑰加密，難以被防御人員監(jiān)控和劫持，該方法可以實現(xiàn)負載均衡，具有較好的抗毀能力，可管理大規(guī)模僵尸網(wǎng)絡。Starnberger等[10]提出了一種基于Kademlia協(xié)議的僵尸網(wǎng)絡命令控制信道協(xié)議Overbot，僵尸主機的請求流量隱藏在合法P2P應用中，難以被追蹤和發(fā)現(xiàn)，極大提升了僵尸網(wǎng)絡整體健壯性和隱蔽性。Hund等[11]提出了一種難以被追蹤和關閉的P2P僵尸網(wǎng)絡Rambot，該模型采用基于信譽評分的僵尸主機驗證機制（credit-point system）以及工作量證明機制（proof-of-work）判斷通信節(jié)點身份的真實性，能有效對抗節(jié)點名單污染以及“女巫”（sybil）攻擊[12]，具有較好的主機生存性。

雖然P2P僵尸網(wǎng)絡具有良好的健壯性，然而其最大的局限性在于難以管理，因此，一些研究人員嘗試對中心結構僵尸網(wǎng)絡進行改進，通常采用第三方協(xié)議和應用充當通信載體和媒介，以此增強僵尸網(wǎng)絡的隱蔽性和健壯性。Singh等[13]評估了利用E-mail實現(xiàn)僵尸網(wǎng)絡通信的可行性。Xu等[14]研究了利用DNS來構建隱蔽的命令控制信道的可行性。Xiang等[15]利用Web 2.0服務提出了一種基于URL Flux技術的移動僵尸網(wǎng)絡，該方法具有良好的隱蔽性和韌性，運用在智能手機場景中能滿足低能耗和低資費需求。Lee等[16]提出了一種Alias-Flux協(xié)議的信道模型，該模型通過惡意利用縮址服務和搜索引擎，實現(xiàn)了隱蔽的命令控制活動。

不同于上述已有工作，本文在對傳統(tǒng)Webshell改進的基礎上，提出一種針對Web服務器的輕量級僵尸網(wǎng)絡Webot，該僵尸網(wǎng)絡基于HTTP協(xié)議，不依賴系統(tǒng)權限和第三方應用，具有普適特性；使用主動推送模式下發(fā)命令，不依賴脆弱信道資源，較傳統(tǒng)信道模型更適用于Web服務器管控場景。

3 信道設計與實現(xiàn)

3.1 Webshell管控模式改進

傳統(tǒng)Webshell側重于單點控制，攻擊者往往開發(fā)私有腳本工具對Webshell進行單點批量化管理。然而，該模式本質上是簡單且脆弱的，在面向大規(guī)模管控時并發(fā)能力有限，命令下發(fā)耗時較長，難以滿足實時協(xié)同任務的需求。為了滿足大規(guī)模場景下高效的命令傳遞和靈活管控，本文對傳統(tǒng)Webshell的訪問連接及代碼結構進行了如下改進。

1) 在訪問連接方面，以PHP格式的Webshell為例，命令傳遞過程采用無連接思想，即控制者將命令發(fā)送給當前僵尸主機后，不等待其執(zhí)行返回繼續(xù)執(zhí)行后續(xù)命令下發(fā)，( )函數(shù)能保證連接斷開后僵尸程序仍可繼續(xù)正確執(zhí)行，該方法極大縮短空閑等待時間，允許攻擊者實現(xiàn)命令快速傳遞。

2) 在代碼結構方面，傳統(tǒng)的Webshell主要分為簡單Webshell和功能Webshell 2種形式。

定義1 簡單Webshell：俗稱“小馬”，指僅提供基本命令執(zhí)行功能的Webshell，代碼結構簡單。

定義2 功能Webshell：俗稱“大馬”，指包含完整木馬功能的Webshell，代碼結構復雜，功能多樣。

簡單Webshell形如 ，不包含復雜功能代碼，命令執(zhí)行時需動態(tài)上傳完整執(zhí)行代碼，體積較小，常用于上傳功能Webshell；而功能Webshell通常將所有的功能代碼整合到Webshell文件中，命令執(zhí)行時無需上傳執(zhí)行代碼，但存在文件體積較大、易遭遇上傳攔截和靜態(tài)查殺的弊端。本文采用的Webshell選取了二者的平衡點，提供基本命令運行及協(xié)議實現(xiàn)所需的邏輯功能，不包含具體功能（如DDoS、掃描等）代碼，使僵尸程序在支持復雜控制邏輯、具備良好功能擴展性的同時，仍具有較高的滲透成功率和較好的終端生存性。

3.2 信道拓撲結構

為了消除命令下發(fā)單點瓶頸，實現(xiàn)快速、健壯、隱蔽的信息傳遞，本文設計實現(xiàn)了一種層次化樹狀拓撲結構的信道模型，該模型自頂向下并發(fā)傳遞命令，其中，Webshell統(tǒng)一稱為僵尸主機，進一步按職能又可劃分為超級僵尸主機和普通僵尸主機，兩者定義如下。

定義3 超級僵尸主機：通過信譽評估方法篩選出穩(wěn)定可信的僵尸主機，該類主機在命令的傳遞過程中承擔命令轉發(fā)職能，既充當服務端又充當客戶端。

定義4 普通僵尸主機：不可信或不穩(wěn)定的僵尸主機，在命令傳遞過程中只等待接收攻擊者指令，不承擔轉發(fā)功能，只充當客戶端。

如圖3所示，控制者通過跳板網(wǎng)絡[2]將命令傳遞給超級僵尸主機，超級僵尸主機將接收到的命令消息彼此獨立、并發(fā)地轉發(fā)給后續(xù)子節(jié)點，逐層傳遞，直到命令傳達到所有葉子節(jié)點（即普通僵尸主機）為止。

3.3 僵尸主機信譽評估

在Webot設計中，為消除不穩(wěn)定或不可信主機（如Sybil節(jié)點）對僵尸網(wǎng)絡命令控制活動的影響，本文采用信譽評估（reputation evaluation）的方法來對僵尸主機進行篩選，選取可信可靠的主機充當超級僵尸主機，而余下的則為普通僵尸主機，信譽評估標準包括如下內(nèi)容。

1) 在線時間?？刂普咄ㄟ^Call Home命令對僵尸主機的在線情況進行統(tǒng)計，在線時間越長，認為該主機更穩(wěn)定可靠。

2) 網(wǎng)站排名。假定防御人員部署的Sybil節(jié)點通常不具備高權重和高排名屬性，基于白名單思想，控制者可借助Alexa排名識別部分高權重的主機，該類僵尸主機通常被認為是可信的。

3) 工作量證明?；赟ybil節(jié)點不會對真實互聯(lián)網(wǎng)發(fā)動大量惡意攻擊的假設，執(zhí)行大量惡意攻擊的僵尸主機將擁有更多的工作量證明，其可信度越高，控制者通過僵尸主機對自主建立的感知節(jié)點進行低速攻擊（如DDoS）來評估工作量。

綜合上述3個因素，單臺僵尸主機的信譽值V的判定如下

其中，w、w、w分別代表上述各對應因素的判斷權重，當V高于預設閾值時認為該僵尸主機可充當超級僵尸主機，V越高，所在的層數(shù)越?。环粗?，V低于閾值的僵尸主機被判定為普通僵尸主機。

3.4 僵尸主機狀態(tài)轉移設計

每個感染主機均處于等待或活躍2類狀態(tài)：當空閑時，主機處于等待狀態(tài)，等候外部來自控制者或其父節(jié)點的命令；相應地，主機從接收命令開始到執(zhí)行代碼完畢，整個過程稱為活躍狀態(tài)，具體又可分為接受命令、解析命令、攻擊、轉發(fā)、更新5個子狀態(tài)。

如圖4所示，默認超級僵尸主機處于等待狀態(tài)，一旦獲得外部命令后開始執(zhí)行解密和分析操作。認證無誤后，超級僵尸主機開始執(zhí)行命令，包括轉發(fā)、攻擊和更新3種操作狀態(tài)：轉發(fā)操作指超級僵尸主機根據(jù)解析的命令內(nèi)容，將指定的命令轉發(fā)給選定的子節(jié)點；攻擊指執(zhí)行既定的攻擊功能（在第4.5節(jié)具體介紹）；更新操作指下載最新功能插件或更新自身文件。命令執(zhí)行完畢后，主機回歸等待狀態(tài)，等待接受下一次命令。

如圖5所示，普通僵尸主機與超級僵尸主機狀態(tài)轉移過程大致相同，不同之處在于，普通僵尸主機只具備攻擊和更新2種操作狀態(tài)，不具備轉發(fā)狀態(tài)。

3.5 命令控制協(xié)議實現(xiàn)

為隱藏C&C服務器的真實身份、實現(xiàn)匿名的信息傳遞，Webot基于hidden service服務，將C&C服務器架設在匿名網(wǎng)絡Tor中[17]，防御人員難以定位其真實IP。此外，基于可信的云主機或VPS資源，利用第三方代理軟件（如Tor2Web），Webot在Tor網(wǎng)絡的邊界搭建代理節(jié)點（如圖6所示），使公網(wǎng)中的僵尸主機無需安裝額外組件即可訪問Tor網(wǎng)絡中的C&C服務器。

在協(xié)議實現(xiàn)過程中，為了保護通信安全，防止信道劫持，Webot結合對稱加密RC4和非對稱加密RSA 2種方式對命令來源進行鑒別。同時采用動態(tài)加密思想，即單個主機單次通信密鑰動態(tài)變換機制，對僵尸主機請求C&C服務器過程進行加密認證。表2和表3分別描述了協(xié)議實現(xiàn)中有關參數(shù)及各實體所掌握資源情況。

表2 相關參數(shù)說明

表3 各實體所掌握資源

如圖6所示，Webot命令控制協(xié)議實現(xiàn)步驟如下。

1) 控制者事先生成∑集合，利用對通知命令C加密得到(C)，然后連同待下發(fā)的功能命令C一同部署在C&C服務器中。

2) 控制者通過跳板網(wǎng)絡將(C)發(fā)送給初始的超級僵尸主機，(C)=(Sensor，，)，其中，Sensor為代理節(jié)點的地址；表示當前僵尸主機當次通信所使用的臨時密鑰，簡稱一次性會話密鑰；標識該命令的有效時間。

3) 超級僵尸主機接收到(C)后利用硬編碼的進行解密校驗，校驗無誤后利用對自身硬編碼的ID進行加密，將’(ID)發(fā)送給代理節(jié)點，代理節(jié)點將請求轉發(fā)給位于Tor網(wǎng)絡中的C&C服務器。

4) C&C服務器在接收到請求后，對ID身份及的有效性進行校驗，校驗通過則返回’(C, C)。

5) 超級僵尸主機對返回的命令’(C, C)進行解密，其中，C=<U,(C)=<U,(Sensor，，)>，超級僵尸主機得到U后，向其中目標主機轉發(fā)對應的通知指令(C)，轉發(fā)完畢執(zhí)行功能指令C。若后續(xù)子節(jié)點為超級僵尸主機，則執(zhí)行上述類似操作；若為普通僵尸主機，則只接受并執(zhí)行C，不進行轉發(fā)。

上述通信流程保證了只有合法僵尸主機才能知曉控制者指令，他人無法通過流量監(jiān)聽獲取通信內(nèi)容，保證了通信的機密性。采用加的認證方法，能對請求主機身份進行有效鑒別，每個只允許當次僵尸主機對C內(nèi)容請求一次，可有效防止惡意重復請求。

4 實驗評估

為檢驗Webot模型命令傳遞率及健壯性，本文在仿真環(huán)境中對大規(guī)模管控場景進行模擬，評估其命令下發(fā)速率及傳達率；將Webot與隨機網(wǎng)絡和小世界模型[18]進行抗毀能力對比；同時，對Webot可實現(xiàn)的功能進行簡要評估。

4.1 實驗環(huán)境

本文在本地Openstack虛擬環(huán)境下模擬了3 000臺僵尸主機，其Web容器采用Apache 2.4.2，Webshell采用PHP語言構建，代理節(jié)點基于Nginx 1.9.4搭建。為了避免實驗中產(chǎn)生的惡意流量危害真實互聯(lián)網(wǎng)，本文將C&C服務器設在本地實驗環(huán)境中，整個通信過程均在本地隔離的環(huán)境中完成。

4.2 效率評估

基于單線程模式及相同的網(wǎng)絡參數(shù)設置，本文對傳統(tǒng)Webshell下發(fā)模式（下文簡稱傳統(tǒng)模式）和Webot協(xié)議進行命令下發(fā)比較實驗：在傳統(tǒng)模式實驗中，以單點逐一下發(fā)的方式將攻擊者指令直接傳遞給所有僵尸主機，信息傳遞超時時間設置為3 s；在Webot信道模擬實驗中，相比于前者，該傳遞過程增加了C&C服務器請求環(huán)節(jié)，考慮到在實際下載和轉發(fā)過程會產(chǎn)生較為明顯的耗時，根據(jù)預先真實網(wǎng)絡中測試結果，在本地仿真實驗中設置5 s休眠來模擬真實網(wǎng)絡延遲。每一個超級僵尸主機在接收到命令后將指定命令轉發(fā)給后繼的個僵尸主機，源主機在發(fā)送數(shù)據(jù)分組后不等待當前目標主機的反饋和代碼執(zhí)行，直接執(zhí)行下一個目標主機的轉發(fā)。C&C服務器可根據(jù)僵尸主機請求實時掌握全網(wǎng)命令傳遞情況。

圖7顯示了下發(fā)成功數(shù)隨時間變化的情況。假設每個超級僵尸主機轉發(fā)給5個子節(jié)點(= 5)。在最初下發(fā)的36 s中，傳統(tǒng)模式下發(fā)速率比Webot的速度快，這是由于初始階段Webot的并發(fā)數(shù)量少、請求延遲高造成的。在36 s之后，隨著并發(fā)的超級僵尸主機數(shù)量的不斷增多，命令傳達速度不斷提高，發(fā)送成功數(shù)呈指數(shù)級上升，超過了線型增長的傳統(tǒng)模式，且隨時間的推移，兩者數(shù)量的差距逐漸拉大。在整個Webot下發(fā)實驗中，除去少量僵尸主機因網(wǎng)絡阻塞原因造成的接收失敗，共計2 915臺僵尸主機在116 s內(nèi)完成了命令傳遞；相比之下，傳統(tǒng)模式在同樣時間內(nèi)只下發(fā)了323臺僵尸主機。可見Webot的管控效率較傳統(tǒng)模式具有巨大優(yōu)勢。

4.3 可靠性評估

當Webot擁有高速下發(fā)速率的同時，它的傳遞可靠性也同樣保持較高的水平，本文用命令傳達率來評估Webot協(xié)議自身傳遞的可靠性。假設每個超級僵尸主機轉發(fā)成功率為0.9，這意味著每一個后續(xù)節(jié)點有0.9的概率能正確接收到命令。參數(shù)代表轉發(fā)路徑的深度。All代表僵尸主機總數(shù)，Received代表成功接收到指令的數(shù)，Webot的命令傳達率為

如圖8所示，轉發(fā)數(shù)分別設為10、20、50，在同等條件下進行模擬實驗，同等規(guī)模下值越大，層數(shù)越小，傳達率越高。選取為50，模擬100 000臺的大規(guī)模管控場景，當Webot采用不重傳策略時，其全網(wǎng)一次性傳達率為73.11%；通過感知全網(wǎng)下發(fā)情況，對未到達節(jié)點進行2次下發(fā)，其全網(wǎng)信息傳達率可達93.10%，累計下發(fā)耗時約750 s。

圖8 Webot命令傳達率評估

4.4 抗毀能力評估

本文采用Li等[18]提出的評估方法，隨機去除一定數(shù)量主機后觀察剩余主機的命令可達情況，即最大剩余可達率（如式（3）所示）。對比隨機網(wǎng)絡模型、小世界網(wǎng)絡模型以及Webot模型三者的抗毀能力。

實驗選取的隨機網(wǎng)絡模型其平均鄰居節(jié)點數(shù)為2，小世界網(wǎng)絡模型的平均鄰居節(jié)點數(shù)設為4，在同等10 000臺規(guī)模下進行測試。如圖9所示，Webot的抗毀能力明顯優(yōu)于隨機網(wǎng)絡模型。當移除數(shù)小于約2 500臺時，Webot的最大剩余可達率略低于小世界網(wǎng)絡模型。隨著移除數(shù)的進一步增加，小世界網(wǎng)絡模型的連通性能下降明顯，而Webot的下降較為平穩(wěn)，仍能保持一定的可達率。除此之外，Webot信道具有易恢復和可重構特性，因此，認為該模型具有較好的健壯性。

圖9 3種模型的最大剩余可達率對比

4.5 功能評估

Webot信道模型兼容傳統(tǒng)Webshell的管控功能，具備傳統(tǒng)文件上傳、數(shù)據(jù)庫管理等基本功能。此外，控制者可利用Webot實現(xiàn)其他復雜的惡意攻擊。

1) DDoS。利用Webot高效和協(xié)同特性，控制者可以在短時間內(nèi)集結全網(wǎng)僵尸主機實施持續(xù)化的DDoS攻擊，由于Web服務器資源往往具有高帶寬性能，通常認為該類僵尸網(wǎng)絡較傳統(tǒng)PC僵尸網(wǎng)絡破壞性更強。本文通過網(wǎng)絡靶場中60臺志愿者主機對Webot的DDoS能力進行實際測試，如圖10所示，DDoS最高峰值可達6 755 kbit/s，同等條件下，1×105臺規(guī)模DDoS峰值流量理論上可達10.73 Gbit/s。

2) 網(wǎng)絡空間探測。利用分布的IP和計算資源，結合主控端的統(tǒng)一調度，Webot可用于全球網(wǎng)絡空間設備探測，有效解決了探測過程中IP遭遇封鎖的問題。

3) 釣魚攻擊。Webot掌握了豐富的合法域名資源，通過篡改頁面的方式，攻擊者可實施持續(xù)性的釣魚攻擊。

4) 黑帽搜索引擎優(yōu)化。根據(jù)Wang等[19]的研究顯示，小規(guī)模、低流失率的黑帽搜索引擎優(yōu)化（Black Hat search engine optimization）僵尸網(wǎng)絡可對谷歌搜索結果進行毒化，實現(xiàn)惡意內(nèi)容推廣，為攻擊者牟取巨額利益。Webot同樣可以實現(xiàn)該功能。

5 防御分析

5.1 傳統(tǒng)防御方法缺陷

傳統(tǒng)僵尸網(wǎng)絡的防御方法包括Sybil 攻擊、Sinkhole攻擊[20]、劫持以及爬取攻擊等，通過這些方法防御人員可以對僵尸網(wǎng)絡進行測量、干擾和關閉。本文提出的Webot可以有效抵御這些常規(guī)方法。

Sybil攻擊。Sybil攻擊對于Webot的效果十分有限。一方面，在面向大規(guī)模僵尸網(wǎng)絡的對抗中，由于每個節(jié)點所知曉的僵尸主機數(shù)有限，防御人員依靠少量Sybil節(jié)點很難測量整體的活躍數(shù)和規(guī)模數(shù)；另一方面，即使Sybil節(jié)點拒絕將消息轉發(fā)給后續(xù)節(jié)點，企圖切斷命令傳遞通道，控制者仍可迅速發(fā)現(xiàn)該異常，對未接收消息的主機實行二次下發(fā)，同時將Sybil節(jié)點從超級僵尸主機列表中剔除。

Sinkhole攻擊。通過前期滲透植入，控制者掌握了全網(wǎng)僵尸主機信息，通過主動推送方式將C&C資源告知全網(wǎng)僵尸主機。該類資源可靈活更替且實現(xiàn)成本小，防御人員難以提前預測并控制這些資源。此外，Tor網(wǎng)絡能有效保護onion域名解析過程的安全。因此，Sinkhole手段對于Webot而言幾乎無效。

劫持。同其他僵尸網(wǎng)絡類似，Webot采用非對稱加密算法和時間窗機制來校驗命令的有效性，防止命令欺騙和重放攻擊，理論上防御人員無法劫持該僵尸網(wǎng)絡。

爬取攻擊。安全人員試圖通過爬取的方式發(fā)掘僵尸網(wǎng)絡的拓撲信息。在Webot模型中，他們可能利用捕獲的僵尸主機重復發(fā)送請求來獲取大量主機信息。然而，在僵尸主機訪問C&C服務器過程中，服務器的驗證機制首先會檢查bot和的有效性。防御人員通過逆向分析事先獲取了合法的bot，如果缺少合法將無法通過驗證。即使利用對通信內(nèi)容破解，掌握了一次性會話密鑰，也只允許獲得一次主機信息，再次提交將會被拒絕。除非能夠繞過信譽評估機制并控制大量超級僵尸主機資源，否則，該種攻擊效果是有限的。

5.2 Webot防御手段

針對Webot的實現(xiàn)機理，本文介紹4種有效的防御手段。首先，匿名網(wǎng)絡的自身缺陷可導致僵尸網(wǎng)絡被測量和去匿名化；其次，防御人員可通過滲透手段對僵尸網(wǎng)絡惡意行為進行實時監(jiān)控；第三，可對通信過程中的代理節(jié)點實施分布式拒絕服務攻擊；最后，防御人員需要建立一個國際性的合作渠道來識別、追蹤和防御Webot。

利用匿名網(wǎng)絡漏洞。如果Webot所使用的匿名網(wǎng)絡存在可被利用的漏洞，這將影響Webot的整體健壯性和匿名性。以Tor網(wǎng)絡為例，安全防御人員可通過控制hidden service的guard node來進行流量的聚合分析[21]，揭示C&C服務器的真實IP。

滲透監(jiān)控。由于僵尸主機均需要訪問C&C服務器來獲取完整代碼和指令，對于Webot而言，安全人員控制少量僵尸主機實施隱蔽的滲透攻擊是無法避免的。該方法可持續(xù)追蹤分析僵尸網(wǎng)絡的活動。

代理節(jié)點拒絕服務攻擊。在C&C通信過程中，防御人員對代理節(jié)點進行拒絕服務攻擊，可干擾僵尸網(wǎng)絡的命令傳遞，延長全網(wǎng)命令傳達時間，降低其協(xié)同攻擊的效果。

構建國際合作機制。Webot的實現(xiàn)需要匿名網(wǎng)絡和虛擬主機提供服務，防御人員應該努力提高公共可用服務的安全性，避免這些服務被惡意利用。同時應該建立一個包含安全研究機構、CERT以及ISP在內(nèi)的協(xié)作渠道來共同打擊此類僵尸網(wǎng)絡犯罪。

6 結束語

本文設計了一種基于Webshell的樹狀拓撲結構僵尸網(wǎng)絡模型并實現(xiàn)了其原型系統(tǒng)Webot。該僵尸網(wǎng)絡可面向大量脆弱Web服務和應用構建，具有良好普適性?；谀涿W(wǎng)絡保護，結合主機信譽評估機制，防御人員難以追蹤；命令傳遞采用主動下發(fā)，不依賴固定且脆弱集合點，信道難以被關閉。本地仿真實驗證明了Webot模型具有良好的效率及健壯性，代表了未來僵尸網(wǎng)絡的發(fā)展趨勢，預計類似的實際案例將會在不久的將來出現(xiàn)。在下一步工作中，將針對該類型的僵尸網(wǎng)絡進行深入研究，尋找快速有效的檢測方法。

[1] CUI X, FANG B X, et al. Botnet triple-channel model: towards resilient and efficient bidirectional communication botnets[M]//Security and Privacy in Communication Networks. Springer International Publishing, 2013.

[2] SHAHID K, et al. A taxonomy of botnet behavior, detection, and defense[J]. Communications Surveys & Tutorials, IEEE 2015, 16(2): 898-924.

[3] HEILMAN E, KENDLER A, ZOHAR A, et al. Eclipse attacks on Bitcoin’s peer-to-peer network[C]//24th USENIX Security Symposium (USENIX Security 15). c2015: 129-144.

[4] CANALI D, BALZAROTTI D. Behind the scenes of online attacks: an analysis of exploitation behaviors on the Web[C]//20th Annual Network & Distributed System Security Symposium (NDSS 2013). c2013.

[5] Netcraft. Web server survey[EB/OL]. http://news. netcraft.com/ archives/2015/11/16/november-2015-web-server-survey.html.

[6] Symantec. 2015 Internet security threat report [EB/OL]. https:// www.symantec.com/security_response/publications/threatreport. jsp.

[7] F-Secure. Backdoor: Osx/tsunami[EB/OL]. https://www. f-secure. com/v-descs/backdoor_osx_tsunami_a.shtml.

[8] New bot malware (BoSSaBoTv2) attacking Web servers discovered[EB/OL]. https://www.trustwave.com/ Resources/SpiderLabs-Blog/- Honeypot-Alert--New-Bot-Malware-(BoSSaBoTv2)-Attacking-Web- Servers-Discovered/.

[9] WANG P, SPARKS S, ZOU C C. An advanced hybrid peer-to-peer botnet[J]. IEEE Transactions on Dependable and Secure Computing, 2010, 7(2): 113-127.

[10] STARNBERGER G, KRUEGEL C, KIRDA E. Overbot: a botnet protocol based on Kademlia[C]//The 4th International Conference on Security and Privacy in Communication Networks. ACM, c2008.

[11] HUND R, HAMANN M, HOLZ T. Towards next-generation botnets[C]// European Conference on Computer Network Defense. IEEE, c2008: 33-40.

[12] DOUCEUR J R. The sybil attackpeer-to-peer systems[M]//Springer Berlin Heidelberg, 2002: 251-260.

[13] SINGH K, SRIVASTAVA A, GIFFIN J, et al. Evaluating email’s feasibility for botnet command and control[C]// IEEE International Conference on Dependable Systems and Networks With FTCS and DCC, IEEE, 2008: 376-385.

[14] XU K, BUTLER P, SAHA S, et al. DNS for massive-scale command and control[J]. IEEE Transactions on Dependable and Secure Computing, 2013, 10(3): 143-153.

[15] CUI X, FNAG B X, et al. Andbot: towards advanced mobile botnets[C]//Proceedings of the 4th USENIX Conference on Large-Scale Exploits and Emergent Threats. USENIX Association, c2011: 11-11.

[16] LEE S, KIM J. Fluxing botnet command and control channels with URL shortening services[J]. Computer Communications, 2013, 36(3): 320-332.

[17] SANATINIA A, NOUBIR G. OnionBots: subverting privacy infrastructure for cyber attacks[C]//Dependable Systems and Networks (DSN), c2015: 69-80.

[18] LI J, EHRENKRANZ T, KUENNING G, et al. Simulation and analysis on the resiliency and efficiency of malnets[C]//Principles of Advanced and Distributed Simulation. IEEE, c2005: 262-269.

[19] WANG D Y, SAVAGE S, VOELKER G M. Juice: a longitudinal study of an SEO botnet[C]//The NDSS Symposium. c2013.

[20] STONE-GROSS B, COVA M, CAVALLARO L, et al. Your botnet is my botnet: analysis of a botnet takeover[C]//The 16th ACM Conference on Computer and Communications Security. ACM, c2009: 635-647.

[21] BIRYUKOV A, PUSTOGAROV I, WEINMANN R. Trawling for tor hidden services: detection, measurement, deanonymization[C]// 2013 IEEE Symposium on Security and Privacy (SP). c2013: 80-94.

Research on Webshell-based botnet

LI Ke1,2, FANG Bin-xing1, CUI Xiang1,2, LIU Qi-xu2, YAN Zhi-tao2

(1. School of Comput er, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

With the rapid rising of Web server-based botnets, traditional channel models were unable to predict threats from them. Based on improving traditional Webshell control method, a command and control channel model based on tree structure was proposed. The model was widely applicable and stealthy and the simulation experimental results show it can achieve rapid and reliable commands delivery. After summarizing the limitations of current defenses against the proposed model, the model’s inherent vulnerabilities is analyzed and feasible defense strategies are put forward.

botnet, command and control, channel prediction, Webshell

TP309.5

A

10.11959/j.issn.1000-436x.2016118

2015-12-15；

2016-03-08

國家自然科學基金資助項目（No.61303239）；國家高技術研究發(fā)展計劃（“863”計劃）基金資助項目（No.2012AA012902）

The National Natural Science Foundation of China (No.61303239), The National High Technology Research and Development Program (863 Program)(No.2012AA012902)

李可（1988-），男，湖南益陽人，北京郵電大學博士生，主要研究方向為網(wǎng)絡安全。

方濱興（1960-），男，江西萬年人，中國工程院院士，北京郵電大學教授、博士生導師，主要研究方向為計算機體系結構、計算機網(wǎng)絡與信息安全。

崔翔（1978-），男，黑龍江訥河人，博士，中國科學院信息工程研究所研究員，主要研究方向為網(wǎng)絡安全。

劉奇旭（1984-），男，江蘇徐州人，博士，中國科學院信息工程研究所副研究員，主要研究方向為網(wǎng)絡空間安全評測。

嚴志濤（1991-），男，浙江臨海人，中國科學院信息工程研究所碩士生，主要研究方向為網(wǎng)絡安全。