僵尸網(wǎng)絡(luò)

　　僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。

　　攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個名字，是為了更形象地讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一種工具。

　　僵尸網(wǎng)絡(luò)概念

　　僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。 攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。

　　控制僵尸網(wǎng)絡(luò)的攻擊者稱為“僵尸主控機（Botmaster）”。僵尸主控機通過僵尸網(wǎng)絡(luò)的命令與控制（Command and Control， C&C）服務(wù)器向bot發(fā)布命令，C&C充當僵尸主控機和僵尸網(wǎng)絡(luò)之間的接口。如果沒有C&C服務(wù)器，僵尸網(wǎng)絡(luò)將退化為一組無法協(xié)同運行的獨立的受惡意軟件入侵的機器。這就是可控性成為僵尸網(wǎng)絡(luò)的主要特點之一的原因。

　　2.主要特點

　　根據(jù)我們隊僵尸網(wǎng)絡(luò)的定義，它主要有以下幾種主要特點： ? 受感染計算機組成的網(wǎng)絡(luò)

　　僵尸網(wǎng)絡(luò)不僅是對許多計算機的大規(guī)模感染，更是一個由受感染計算機組織成的網(wǎng)絡(luò)，并且相互之間或者和一個中間實體之間能夠進行通信，并根據(jù)指令以協(xié)作的方式采取行動。 ? 能遠程調(diào)度

　　僵尸網(wǎng)絡(luò)必須能夠接收并執(zhí)行攻擊者或者僵尸主控機發(fā)送的命令，并且根據(jù)這些指令以協(xié)作的方式采取行動。這就是僵尸網(wǎng)絡(luò)和其他惡意軟件，例如遠程控制木馬的不同之處。

　　 用來進行惡意活動

　　威脅存在的主要原因是它實施惡意活動，其主要目的是執(zhí)行攻擊者的指令。

　　3.C&C結(jié)構(gòu)

　　僵尸網(wǎng)絡(luò)的C&C結(jié)構(gòu)定義了命令和重要信息是怎樣傳遞到bot的。 ? 集中式 ? 分散式 ? 混合式

　　3.1集中式C&C結(jié)構(gòu)

　　最常見的僵尸網(wǎng)絡(luò)C&C結(jié)構(gòu)是集中式的。在這種結(jié)構(gòu)中，僵尸網(wǎng)絡(luò)由位于中央位置的C&C進行控制。這意味著僵尸網(wǎng)絡(luò)的所有成員都連接到一個發(fā)布命令的中央節(jié)點。這種結(jié)構(gòu)給僵尸主控機提供了一個很簡單有效的和bot溝通的方法。另外，僵尸主控機可以很輕松的管理集中式C&C。 3.2分散式C&C結(jié)構(gòu)

　　盡管集中式C&C結(jié)構(gòu)有一些優(yōu)點，比如簡單性和可管理性，但這也是集中式僵尸網(wǎng)絡(luò)的最大弊端。集中式C&C是僵尸網(wǎng)絡(luò)失效的中心點，阻止訪問C&C或者把它去掉將會使整個僵尸網(wǎng)絡(luò)失效。僵尸網(wǎng)絡(luò)的惡意軟件仍會繼續(xù)工作，但沒有人去控制和用新的命令激活它。

　　分散式C&C結(jié)構(gòu)中，節(jié)點既充當服務(wù)器也充當客戶端。節(jié)點是受害計算機自身，這就消除了僵尸網(wǎng)絡(luò)中心點失效的可能。分散式的C&C結(jié)構(gòu)也稱為點對點（P2P）僵尸網(wǎng)絡(luò)。 3.3 混合式C&C結(jié)構(gòu)

　　混合式僵尸網(wǎng)絡(luò)使用集中式和分散式C&C組合，使用P2P作為它的主要C&C，當連接它的對等點失敗時，它會轉(zhuǎn)到它備用的C&C，一個使用集中式C&C結(jié)構(gòu)的C&C。

　　4.僵尸網(wǎng)絡(luò)的使用

　　Botnet構(gòu)成了一個攻擊平臺，利用這個平臺可以有效地發(fā)起各種各樣的攻擊行為，可以導(dǎo)致整個基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機密或 個人隱私泄漏，還可以用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動。下面是已經(jīng)發(fā)現(xiàn)的利用Botnet發(fā)動的攻擊行為。隨著將來出現(xiàn)各種新的攻擊類 型，Botnet還可能被用來發(fā)起新的未知攻擊。

　　拒絕服務(wù)攻擊

　　使用Botnet發(fā)動DDos攻擊是當前最主要的威脅之一，攻擊者可以向自己控制的所有bots發(fā)送指令，讓它們在特定的時間同時開始連續(xù)訪問特定的網(wǎng)絡(luò)目標，從而達到DDos的目的。由于Botnet可以形成龐大規(guī)模，而且利用其進行DDos攻擊可以做到更好地同步，所以在發(fā)布控制指令時，能夠使得DDos的危害更大，防范更難。

　　發(fā)送垃圾郵件一些bots會設(shè)立sockv4、v5 代理，這樣就可以利用Botnet發(fā)送大量的垃圾郵件，而且發(fā)送者可以很好地隱藏自身的IP信息。

　　竊取秘密

　　Botnet的控制者可以從僵尸主機中竊取用戶的各種敏感信息和其他秘密，例如個人帳號、機密數(shù)據(jù)等。同時bot程序能夠使用sniffer觀測感興趣的網(wǎng)絡(luò)數(shù)據(jù)，從而獲得網(wǎng)絡(luò)流量中的秘密。

　　濫用資源

　　攻擊者利用Botnet從事各種需要耗費網(wǎng)絡(luò)資源的活動，從而使用戶的網(wǎng)絡(luò)性能受到影響，甚至帶來經(jīng)濟損失。例如：種植廣告軟件，點擊指定的網(wǎng)站;利用僵尸主機的資源存儲大型數(shù)據(jù)和違法數(shù)據(jù)等，利用僵尸主機搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚的非法活動。

　　可以看出，Botnet無論是對整個網(wǎng)絡(luò)還是對用戶自身，都造成了比較嚴重的危害，我們要采取有效的方法減少Botnet的危害。

　　僵尸網(wǎng)絡(luò)挖礦

　　網(wǎng)絡(luò)安全商fortiguard labs的網(wǎng)絡(luò)安全研究報告指出，虛擬貨幣的僵尸挖礦ZeroAccess已經(jīng)成為全球網(wǎng)絡(luò)當下主要威脅。ZeroAccess的主要攻擊手段是click fraud和virtual mining，通過控制大量僵尸主機進行挖礦活動，近期由于比特幣等虛擬貨幣的價值飆升，ZeroAccess的獲利可能出乎想象。

　　手機僵尸網(wǎng)絡(luò)

　　手機流量總不夠用、自動安裝陌生軟件、彈通知欄廣告，你可能遇到了中國最大的安卓手機僵尸網(wǎng)絡(luò)的攻擊。這是一款叫做Android.Troj.mdk的后門程序（簡稱MDK），感染率高達千分之七，總計感染了不少于105萬部智能手機。用戶手機中招后，流量消耗劇增、廣告頻繁彈出、機器變卡變慢，隱私被竊取甚至存在被監(jiān)聽被跟蹤的隱患。

　　惡意廣告作者將正常的游戲應(yīng)用，流行應(yīng)用進行重新打包，然后再發(fā)布到市場，由于帶有正常游戲或正常應(yīng)用功能因此用戶很難發(fā)現(xiàn)問題 ，并有可能會將游戲推薦給你身邊的朋友。同時，惡意廣告作者會進行后臺刷榜，一提升用戶熱度，從而用戶將流失流量。

　　5研究方法

　　對于目前比較流行的基于IRC協(xié)議的Botnet的研究方法，主要使用蜜網(wǎng)技術(shù)、網(wǎng)絡(luò)流量研究以及IRC Server識別技術(shù)。 使用蜜網(wǎng)技術(shù)

　　蜜網(wǎng)技術(shù)是從bot程序出發(fā)的，可以深入跟蹤和分析Botnet的性質(zhì)和特征。主要的研究過程是，首先通過密罐等手段盡可能多地獲得各種流傳在網(wǎng)上的bot程序樣本；當獲得bot程序樣本后，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的屬性，如Botnet服務(wù)器地址、服務(wù)端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用戶名稱，這些信息都為今后有效地跟蹤Botnet和深入分析Botnet的特征提供了條件。在具備了這些條件之后，使用偽裝的客戶端登錄到Botnet中去，當確認其確實為Botnet后，可以對該Botnet采取相應(yīng)的措施。 網(wǎng)絡(luò)流量研究

　　網(wǎng)絡(luò)流量的研究思路是通過分析基于IRC協(xié)議的Botnet中僵尸主機的行為特征，將僵尸主機分為兩類：長時間發(fā)呆型和快速加入型。具體來說就是僵尸主機在Botnet中存在著三個比較明顯的行為特征，一是通過蠕蟲傳播的僵尸程序，大量的被其感染計算機會在很短的時間內(nèi)加入到同一個IRC Server中；二是僵尸計算機一般會長時間在線；三是僵尸計算機作為一個IRC聊天的用戶，在聊天頻道內(nèi)長時間不發(fā)言，保持空閑。將第一種行為特征歸納為快速加入型，將第二、三種行為特征歸納為長期發(fā)呆型。

　　研究對應(yīng)這兩類僵尸計算機行為的網(wǎng)絡(luò)流量變化，使用離線和在線的兩種分析方法，就可以實現(xiàn)對Botnet的判斷。 IRC技術(shù)

　　通過登錄大量實際的基于IRC協(xié)議的Botnet的服務(wù)器端，可以看到，由于攻擊者為了隱藏自身而在服務(wù)器端刻意隱藏了IRC服務(wù)器的部分屬性。同時，通過對bot源代碼的分析看到，當被感染主機加入到控制服務(wù)器時，在服務(wù)器端能夠表現(xiàn)出許多具有規(guī)律性的特征。通過對這些特征的歸納總結(jié)，就形成了可以用來判斷基于IRC協(xié)議的Botnet的服務(wù)器端的規(guī)則，這樣就可以直接確定出Botnet的位置及其規(guī)模、分布等性質(zhì)，為下一步采取應(yīng)對措施提供有力的定位支持。

　　以上三種研究方法都是針對基于IRC協(xié)議的Botnet。對于P2P結(jié)構(gòu)的Botnet的研究較少，原因是由于其實現(xiàn)比較復(fù)雜，在網(wǎng)絡(luò)中并不占有太大比例，同時也因為其在控制方式上的分布性使得對它的研究比較困難。但隨著Botnet的發(fā)展，對于P2P結(jié)構(gòu)的Botnet的研究也將進一步深入。

　　新型僵尸網(wǎng)絡(luò)的特點

　　近年來，一些主要的僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上都變得更加令人難以琢磨，以更加不可預(yù)測的新特點來威脅網(wǎng)絡(luò)安全。僵尸網(wǎng)絡(luò)操縱地點也比以前分布更廣。它們采用新技術(shù)提高僵尸網(wǎng)絡(luò)的的運行效率和靈活機動性。很多合法網(wǎng)站被僵尸網(wǎng)絡(luò)侵害，從而影響到一些企業(yè)的核心競爭力。

　　最新型的僵尸網(wǎng)絡(luò)攻擊往往采用hypervisor技術(shù)。hypervisor技術(shù)是一種可以在一個硬件主機上模擬躲過操作系統(tǒng)的程序化工具。hypervisor可以分別控制不同主機上的處理器和系統(tǒng)資源。而每個操作系統(tǒng)都會顯示主機的處理器和系統(tǒng)資源，但是卻并不會顯示主機是否被惡意服務(wù)器或者其他主機所控制。

　　僵尸網(wǎng)絡(luò)攻擊所采用的另外一種技術(shù)就是Fast Flux domains。這種技術(shù)是借代理更改IP地址來隱藏真正的垃圾郵件和惡意軟件發(fā)送源所在地。這種技術(shù)利用了一種新的思想：被攻陷的計算機僅僅被用來當作前線的代理，而真正發(fā)號施令的主控計算機確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機的IP地址，真正竊取數(shù)據(jù)的計算機在其他地方。代理主機沒有日志、沒有相關(guān)數(shù)據(jù)、沒有文檔記錄可以顯示攻擊者的任何信息。最為精巧的地方在域名服務(wù)這部分，一些公司為了負載平衡和適應(yīng)性，會動態(tài)地改變域名所對應(yīng)的IP地址，攻擊者借用該技術(shù)，也會動態(tài)地修改Fast-Flux網(wǎng)絡(luò)的IP地址。

　　而最為眾人所知的技術(shù)莫過于P2P了。比如，Nugache僵尸網(wǎng)絡(luò)就是通過廣泛使用的IM工具點對點來實現(xiàn)擴充，然后使用加密代碼來遙控指揮被感染主機。那也就意味著這種方式更加令人難以探測到。而且僵尸網(wǎng)絡(luò)也比較傾向使用P2P文件共享來消除自己的蹤跡。

　　無論是使用Fast Flux、P2P還是hypervisor技術(shù)，僵尸網(wǎng)絡(luò)所使用的攻擊類型都比以前變得更加復(fù)雜多樣。顯然，僵尸網(wǎng)絡(luò)威脅一直在不斷地增長，而且所使用的攻擊技術(shù)越來越先進。這就需要我們使用更加強大的安全防護工具來保護個人和公司網(wǎng)絡(luò)的安全。

　　僵尸網(wǎng)絡(luò)的危害

　　隨著僵尸網(wǎng)絡(luò)的不斷滲透和擴散，公司必須比以往更加重視和了解邊界安全。為此，公司不僅需要了解僵尸網(wǎng)絡(luò)的功能和運行機制，也需要了解它們所帶來的安全威脅。

　　對僵尸網(wǎng)絡(luò)非法入侵做出快速有效的響應(yīng)，對企業(yè)來說可能是一項最為緊迫的挑戰(zhàn)。不幸的是，光靠利用基于簽名的技術(shù)來消除這些安全威脅是遠遠不夠的。使用這種技術(shù)往往會花費數(shù)小時甚至是數(shù)天時間，才能檢測到僵尸網(wǎng)絡(luò)并對其做出響應(yīng)。僵尸網(wǎng)絡(luò)最容易吸引各類高科技網(wǎng)絡(luò)犯罪分子，他們可以借助僵尸網(wǎng)絡(luò)的溫床醞釀和實施各種網(wǎng)絡(luò)攻擊和其他非法活動。

　　僵尸網(wǎng)絡(luò)的所有者會利用僵尸網(wǎng)絡(luò)的影響力對企業(yè)展開有針對性的攻擊。除了分布式垃圾郵件和攻擊電子郵件數(shù)據(jù)庫之外，他們還會發(fā)動分布式拒絕服務(wù)攻擊。僵尸網(wǎng)絡(luò)越來越喜歡利用竊取企業(yè)財務(wù)信息或者商業(yè)機密，進而對企業(yè)進行敲詐勒索和追逐其他利益活動。 另外，他們還可以利用企業(yè)與企業(yè)之間的網(wǎng)絡(luò)互聯(lián)或者其他同行合作伙伴來擴大攻擊。這也就是為什么企業(yè)已經(jīng)成為僵尸網(wǎng)絡(luò)重點攻擊的受害群體之一的重要原因。

　　當僵尸網(wǎng)絡(luò)獲得訪問公司網(wǎng)絡(luò)的權(quán)限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數(shù)據(jù)。這樣一來，不僅嚴重危害了客戶的私人利益，也損害了公司的寶貴資源和企業(yè)形象，從而對企業(yè)造成致命創(chuàng)傷。