本文转自安全客(http://bobao.360.cn)
一、前言:僵尸网络的兴起
2016年,以Locky为代表的勒索软件的兴起非常引人注目,但是过去几个月,我们的注意力被网络犯罪基础设施的一个基础元素所吸引----僵尸网络。
去年七月份,有很多攻击者使用LizardStresser工具发起DDoS攻击,这是使用了物联网设备的DDoS僵尸网络,由Lizard Squad黑客组织推动的DDos网络。八月份,我们碰到了第一个基于Android,并经过Twitter控制的僵尸网络。九月底,网络罪犯发布了一个公告,公开了Mirai僵尸木马程序的源代码,该木马程序的主要感染目标是物联网设备,并使用这些设备组建一个僵尸网络,进而发动DDoS攻击。这个恶意软件之前只被少数犯罪份子所使用(已经感染了成千上万的物联网设备),但随着源代码被公开发布,世界各地的网络犯罪分子现在有了一种现成的简易方法,去建立更多的僵尸网络。十月份,使用了100000台设备的强大僵尸网络,攻击了DNS服务提供商Dyn公司。最终给数十家知名互联网服务公司带来了很大影响,包括Airbnb,Etsy,Pinterest,Amazon,PayPal,Twitter,和Netflix,以及各大新闻媒体和ISPs,如Comcast和Verizon。
Cyren公司强大的“GlobalView Security”云数据每天能收集和分析超过170亿个威胁数据,Cyren研究人员发现了成千上万的恶意DNS、电子邮件和Web活动,而这些都源于一个僵尸网络。
这就是Necurs僵尸网络,我们已经追踪到经过它传播的Locky和Dridex恶意软件。在过去的几个月中,Necurs僵尸网络已经“关闭”了两次,给我们的感觉好像是已经下线了,实际上没有。僵尸网络世界看起来不太像一般的网络犯罪,更像是一个季节性的破坏者。
在今天的世界里,因为僵尸网络的存在,从笔记本电脑、路由器、DVRs到安全摄像机,都处在危险之中。事实上,最近毕马威公司对中型公司的研究发现,机器的综合计算能力能显著影响公司的运营,影响范围包括公司收入的减少、商业信誉的损失,到客户信心的减少。僵尸网络通过各种方式,能影响到任何个人、商业活动、公司或政府。通过DDoS攻击实际目标、或使用公司的计算资源和带宽对其他人发动攻击、窃取商业秘密,或客户、员工的身份信息,向源代码中插入恶意软件,或影响系统整体数据的完整性等等。
今天,每一个组织都需要确保他们的安全,在那些对威胁情报的深度和广度有需要的地方,分层防御必须能在多个级别上瓦解这些现代克隆军队的网络犯罪活动。
二、僵尸网络101:僵尸网络如何工作
据说,在1988年11月初,互联网第一次受到病毒的攻击,当时,康奈尔大学有一个高智商但是无聊的毕业生,名为Robert Morris Jr,开发了第一个互联网“蠕虫”--一个计算机病毒,从一个计算机传播到另一个计算机。
据说莫里斯对这个软件的设想不仅包括在连接的计算设备间复制数据,也包括连接的计算系统--通过指令来操作数以千计的连接的计算机。
僵尸网络在过去25年里发生了非常令人注目的变化,包括它们的影响范围、创造财富的能力、和引起的破坏性。由于僵尸网络、恶意软件、DDoS攻击和其它活跃的恶意行为,商业交易每年都会损失不少客户和数万百美元的收入。僵尸网络在21世纪成为互联网最大的威胁。
僵尸网络如何诞生
通常,僵尸网络是一连串互联的计算机、或僵尸主机,每一个都感染了由特定僵尸网络控制的相同或不同类型的恶意软件。这个僵尸主机有能力直接和C&C(命令和控制)服务器进行通联,僵尸主机之间也有能力互相通联,并执行控制者的命令。即使是合法的分布式计算系统,也有可能利用了僵尸网络的技术。通常,“僵尸网络”这个术语仅仅是指拥有犯罪意图的非法网络。
要创建僵尸网络,创建人员就需要用恶意软件感染计算机。这可以通过多种方法,包括恶意邮件、钓鱼网站、感染了恶意软件的盗版软件、或者感染U盘。
僵尸网络的通信方法主要有两种
直接命令和控制(C&C)的僵尸网络。采用了C&C方式,僵尸主机直接联系一个服务器、或一组分布式服务器,来获取任务并报告主机状态。采用命令和控制网络方式比较好实施,但是如果C&C服务发生问题,整个僵尸就有可能中断。
对等(P2P)的僵尸网络。对等的僵尸网络使用一个分布式僵尸主机来保护僵尸网络,防止发生服务中断。对等的僵尸网络可以包含C&C服务,也可以不包含,也可以设计成一个特定的、随机的结构,这可以进一步使僵尸网络和它的用途更加模糊。因此,P2P僵尸网络不容易被识别,主控机不容易监控指令的传递,P2P僵尸网络的实现本身比较复杂。
三、僵尸网络的组成
僵尸网络--是一个由感染了恶意软件的设备,通过互联网互相连接的网络,通常会从事网络犯罪活动。它经常被用于传播垃圾邮件和恶意软件,或者发动DDoS攻击。僵尸网络可以大到拥有1百万台设备,每天发送多达600亿封垃圾邮件。“botnet”术语最早起源于“roBOT”和“ NETwork”的组合。
僵尸控制者:或者称为僵尸网络控制器或僵尸牧人,僵尸控制者是僵尸网络的操作者。这个个体远程控制着僵尸网络,向C&C服务器发布命令,或向网络中的某个僵尸主机。僵尸控制者为了逃避法律诉讼和身份识别,他们对自己的名字和位置会严密的保护。
命令和控制(C&C)服务器:经常简称为C&C,是一个中心计算机,负责对僵尸主机发送命令,及从僵尸主机接收信息。C&C的基础架构通常包括多台服务器和其他技术组件。大多数僵尸网络采用“客户端-服务器端”的结构,但是有的僵尸网络采用了P2P结构,这种结构将C&C功能集成到了僵尸网络中。
对等(P2P)僵尸网络:对等僵尸网络使用了一分布式的僵尸主机网络,主要是为了保护僵尸网络、防止网络中断。P2P僵尸网络可以包含C&C服务器,也可以不包含,也可以设计成一个特定的、随机的结构,这可以进一步使僵尸网络和它的用途更加模糊。因此,P2P僵尸网络不容易被识别,主控机不容易监控指令的传递,P2P僵尸网络的实现本身比较复杂。
僵尸主机:僵尸网络中的一个通过互联网连接的个人设备叫做僵尸主机。僵尸主机通常是一台计算机,但是智能手机、平板电脑、或物联网设备也可以是僵尸网络的一部分。僵尸主机可以从C&C服务器接受命令,也可以直接接受僵尸控制者的命令,或者是网络中的其它僵尸主机。
僵尸:这是僵尸主机的另一种叫法。因为僵尸主机通常是由一个外部计算设备或人来控制,可以被比作一个虚构的“僵尸”。僵尸网络也被称为“僵尸军团”。
C&C僵尸网络如何传播恶意软件?
1.僵尸控制者通过传播僵尸恶意软件、感染别人的电脑或其它设备,来建立一个僵尸网络。他也可以从网络犯罪份子手中租用一个现有的僵尸网络。
2.将新收获的僵尸主机或僵尸报告给僵尸网络的C&C服务器。
3.C&C服务器控制僵尸主机,并向僵尸主机发送指令,包含邮件模板和潜在受害人的地址列表,让僵尸主机传播一个可执行的恶意文件。
4.僵尸主机收到命令以后,开始向成千上万的潜在受害人发送包含恶意载荷的邮件。
四、不断增长的威胁:物联网僵尸网络
几年来,网络安全专业人士一直在预测一个即将到来的恶意软件攻击潮,源于物联网设备。越来越多的“智能”日常家庭用品,可以连接到互联网,如冰箱、WIFI路由器、DVRs、婴儿监控器、安全摄像机、恒温器等等。
在2016年,未来才有可能发生的事,变成了“此刻”已经发生,网络罪犯吸收了超过1百万台物联网设备,用于扩大他们的僵尸军团。两个主要的开源恶意软件--Mirai和Bashlight--成为了他们武器库中的一个选择。两个恶意软件都会针对安装了BusyBox的嵌入式设备发起攻击,并对telnet远程登录协议进行猜解。就Mirai而言,该僵尸网络软件会将通信数据加密,包括僵尸设备间的通信数据、及僵尸和C&C服务器的通信数据。这给网络安全安全专家监控和分析恶意活动带来了不小的困难。研究者还认为,Mirai能接管那些已经被Bashlight感染的设备,甚至会为僵尸设备打上补丁,防止它们再次被竞争对手感染。
Mirai僵尸网络的力量在九月份第一次被发现,当时,网络罪犯(vDoS黑客组织)针对网络安全专家Brian Krebs的网站--krebsonsecurity.com--发起了DDoS攻击。
据Krebs说,这次网络攻击在最高峰产生了每秒约664G比特的流量。这是一次最大的单一互联网攻击的见证和记录。
十月份,物联网僵尸网络突然攻击了Dyn公司,该公司控制着大量的互联网DNS基础设施。被基于Mirai的物联网僵尸网络攻击后,造成了众多网站暂时中断,如Twitter,CNN,和Netflix。
随着网络犯罪率的不断增长,物联网僵尸网络变得尤其危险,基于以下几个原因:
1.随着各种智能设备不断接入互联网,物联网僵尸网络的规模实际是可以无限扩大。
2.物联网设备的安全防御通常很少,经常缺乏基本的安全规划。
3.Mirai僵尸网络的源码2016年十月份被公开,这给更多黑客提供了方便。
僵尸网络的货币化也是其发展的关键。研究人员报告称,规模在10万到40万台设备的物联网僵尸网络,每次攻击可以赚到3000到7500美元,这使得犯罪份子创建和使用僵尸网络的热情更加高涨。
安全专家建议,对于那些被感染的物联网设备,可以采用重新恢复的办法清除僵尸程序(重新恢复设备可以从内存中清除僵尸程序),不过,有可能该设备很快又会被感染。因为犯罪份子在不断的扫描物联网设备的漏洞。因此,在重新恢复设备后,立刻更改设备的默认密码就很有必要了。
五、ET给家里打电话:合法的僵尸网络
尽管“僵尸网络”这个术语通常和犯罪份子、恶意程序有关系,实际上,有一些僵尸网络是合法的,并且对我们是有用的。比如众所周知的“分布式计算系统”,它可以分布在全球各地。也许你认识的某个人,就有可能很愿意的允许他的电脑成为其中的一部分。
合法的僵尸网络是安装了某种软件的一群通过互联网连接的设备,并通过人来控制的系统,使这些设备一起执行某些功能或一些命令。通过在多平台上扩展的计算能力,很多任务可以完成的很快,很有效率、并且成本较低。“分布式计算系统”往往是为了创造更大的效益,而“僵尸网络”通常是为了犯罪目的。
也许目前最著名的分布式计算项目是“SETI@home”项目。利用了伯克利开放式网络计算(BOINC)软件平台,由加州大学伯克利分校的空间科学实验室维护。“SETI@home”可以租用志愿者的闲置CPU和GPU资源,用于分析从射电望远镜捕获的无线电信号,目的是为了搜寻外星人存在的证据。
其他著名的分布式计算项目集中在资源密集型计算任务,如天气模型和预报、天体物理学、股票市场预测、分子生物学和数学。
六、创建、买、或租用?15分钟僵尸网络
成为网络罪犯变得越来越容易了,只需要手中有几百美元。连接互联网,任何人都可以获得到软件和支持,以建立一个僵尸网络。在花钱租用了一个僵尸网络以后,通过利用僵尸网络传播恶意软件、垃圾邮件、钓鱼攻击、甚至是发动DDoS攻击,犯罪份子可以很快从他的投资中得到回报。具有编码能力的企业型犯罪团伙,开发出了可以租用的僵尸网络及租赁方案,然后出售或租赁给任何愿意付钱的人。
创建自己的僵尸网络
对于那些想拥有属于自已的僵尸网络的罪犯,得到一个基本的僵尸网络可能只需要大约15至20分钟,一旦罪犯决定了僵尸网络的目的,并确定需要哪些关键组件。在线供应商、工具、甚至赞助商都可以帮忙建设。只要一个正确的关键字搜索,就可以让你在五分钟之内在网上买到“僵尸网络创建工具包”。一旦购买和创建了这些工具,罪犯只需要开发有效载荷,当然,通常在工具包中就可以选择有效载荷。构建一个C&C服务器也只需要一个WEB主机或一个在线云服务提供者。
Cyren研究人员检查了一个基于免费软件的Zeus僵尸网络的创建步骤。在传播恶意软件之前,用户还需要做的只有两点:
1.设置服务器。
2.生成恶意软件。
步骤一:设置服务器
为了设置服务器,僵尸网络创建者需要在安装了Apache网站服务器和其他组件的LINUX主机上,安装“Zeus 2.0.9.15”管理面板。一旦将LINUX环境设置好,Zeus软件(网页文件)只需要从一个ZIP文件中复制出来,然后修改一下文件的权限。安装过程可以从任何Web浏览器中激活。
在安装完毕以后,可以从Web浏览器访问到Zeus的控制面板。
步骤二:生成恶意软件
下一步就是生成Zeus的恶意软件。当然这个恶意软件和新创建的管理服务器或C&C服务器是相配套的。在这个例子中,准僵尸网络控制者是幸运的,因为“Zeus 2.0.9.15”管理面板已经简化了操作流程,非常简单。为了生成Zeus的恶意软件,只需要做以下事件:
1.设置配置参数,其中包括服务器的所有细节。
2.使用提供的细节和JPG图片配置僵尸。利用数字隐写技术,将僵尸的配置数据嵌入到JPG图片中。
经过上面两步,成功将僵尸配置和加密的配置嵌入到了JPG图片中,然后:
3.根据这些组件,生成僵尸主机可执行文件。
4.给这个可执行文件重命名,名称最好和你要进行的任务有关系,如“发票.exe”。
对于雄心勃勃的犯罪份子,更大的挑战是如何传播恶意软件。上面我们已经提到过,他们可以利用另外一个已经存在的僵尸网络。当有新的僵尸上线时,从Zeus的控制面板可以看到,并可以向它们发布命令。
租用一个僵尸网络:僵尸网络.低价.方便
犯罪份子也可以租用一个僵尸网络,只需要一个PayPal帐号、每天付出几块钱,不论是初学者,还是有经验的网络罪犯都可以租用到僵尸网络。“Stressers”和“booters”在网络罪犯圈中非常名,是一个网络犯罪份子提供给客户的在线DDoS工具,通常只需要少量的费用。利用软件即服务(SaaS)的销售模式,普通的DOS套餐只需要每天66美分、或每月19.99美元,豪华套餐需要每月34.99美元。
成功需要规划
更多认真的僵尸网络创业者将要开始一个业务计划,描述了他们的目标受害者、预测收入和成本。安全分析专家估计,如果做法正确,僵尸网络可以争取到成千上万的罪犯和每年数百万美元。考虑到大多数认真的僵尸控制者管理着到少一个僵尸网络,僵尸网络经营者也有可能改变他们的计划、载荷、和不同群体的受害者。
主要的卖点是,可以非常容易的了解僵尸网络和恶意软件开发工具,而且可以便宜的在互联网上采购到,即使是初级用户。如果犯罪份子是初学者,可以通过僵尸网络工具包,利用基本的“点击”来建立自己的僵尸网络,并以最小的努力开始窃取金钱和数据。
全球僵尸分布
根据Cyren公司的数据,下图是僵尸主机的分布:
从上图可以看出,印度被控的僵尸主机最多,占到30.69%,伊朗占到了10.43%,其次是越南,8.37%。
七、万能的网络:僵尸网络做了什么
传播恶意软件:为了创建、扩大和维持僵尸网络,恶意软件必须不断的安装到新的计算机中,大多数是经过一个嵌入到邮件中的附件或链接来传播。然而,僵尸网络恶意软件也可能通过入侵网站链接,甚至通过平板电脑或手机恶意软件来传播。并不是所有的恶意软件都是为了扩大僵尸网络。僵尸网络也会传播其它类型的恶意软件,如银行恶意软件或勒索软件。下面的图片显示的是:根据Cyren的跟踪,2016年,数据庞大的含有Locky勒索软件的邮件是通过僵尸网络发送的。
DDoS攻击:利用连接到僵尸网络的僵尸主机,网络犯罪份子导致受害人系统关闭或拒绝服务,通过发送大量的数据,使网站或系统的任务过载。
垃圾邮件和网络钓鱼邮件:在僵尸网络的帮助下,成千上万的计算机在同一时间工作,可以传播大量的垃圾邮件和网络钓鱼邮件。在2011年,达到了巅峰,僵尸网络发送的垃圾邮件一度超过了每天1500亿封。根据Cyren公司的评估,在2016年第3季度,全球传播的垃圾邮件和网络钓鱼邮件平均每天有568亿封。
监控:僵尸主机也可以被用于监控和“嗅探”主机中特定类型的文本和数据,如用户名和密码。如果一个机器感染了几个不同僵尸网络的恶意软件,从这个主机上可以嗅探到其它僵尸网络的消息数据,可以收集关键数据,甚至是偷取其它僵尸网络。
键盘记录器:在键盘记录软件的帮助下,僵尸主机收集和键盘有关的具体信息,如和某些关键词有关的字母数字、或特殊字符序列。比如“bankofamerica.com”或“paypal. com”。如果键盘记录软件安装在成千上万的僵尸主机上,那么网络犯罪份子就有能力快速获取到敏感信息。
点击欺诈:想像一下,你通过点击自己网站上的谷歌AdSense广告在赚钱。如果你是一个网络犯罪份子,并且你有自己的网站,使用一个点击欺诈的僵尸网络是有意义的,这些广告将被自己点击,这样你挣钱的潜能就更大了。
在线民意调查和社会媒体操纵:僵尸网络被很好的利用到了美国大选中,各利益团体利用僵尸网络,人为影响社会媒体的网上投票和热门话题。由于僵尸网络中的每个僵尸拥有不同的IP,每张选票或假标签后可能是同一个人。
抢票的僵尸网络:这种类型的僵尸网络软件在网络中价格约750美元,能使网络犯罪份子在多个不同的活动或活动日期中,抢到更多质量最好的活动门票。该软件允许用户买票,再通过卖给别人,从中获利。
全球勒索软件的C&C服务器分布图:
上图显示:位于美国的勒索软件C&C服务器占到总数的33.11%,其次是俄罗斯,占到14.29%。
八、僵尸网络的进化:时间线
1988年:Robert Morris.Jr,开发了第一个互联网蠕虫,设计的本意是为了复制自身,进而感染其他连接的计算机,最终建立一个连接的计算机系统,并由他控制。
1999年:一个木马和一个蠕虫,Sub7和Pretty Park被认为是最早的恶意软件,经过IRC 通讯管道来让受害计算机接收恶意指令。
2004年:Phatbot,一个Agobot的变种,是第一个用P2P代替IRC的僵尸网络。
2006年:Zeus(Zbot)恶意软件首次出现,使得网络犯罪份子有能力偷取银行凭证,并有了使更多受害者的电脑变成僵尸网络能力。
2008年:Grum出现,并在四年的时间内得到很大扩展,每天能传播399亿封邮件。
与此同时,Storm僵尸网络被多次打击、和卸载僵尸主机后,被强制下线。
2010年:Zeus的代码被集成到了SpyEye恶意软件中,并销售给高端的犯罪份子。
与此同时,Waledac僵尸网络在微软的反攻下,被下线。
2011年:Gameover Zeus僵尸网络开始使用P2P协议和C&C服务器通讯。
此外,根据Cyren的研究报告,当2011年3月Rustock僵尸网络被下线后,垃圾邮件的数量下降了30%。
2012年:在俄罗斯、乌克兰、巴拿马和荷兰的共同协助下,Grum僵尸网络被下线。
2013年:安全专家报告了第一个安卓僵尸网络“MisoSMS”。
此外,联合执法部门和私营部门,使多个Citadel僵尸网络下线。
2014年:美国司法部以及多个国家的执法机构,联合控制了Gameover Zeus僵尸网络。
2016年:首个物联网僵尸网络产生,成千上万的设备受到感染。
2017年&未来:物联网僵尸网络规模会变大,变得更复杂。因为有一些设备,如家电,缺乏有效的安全保护。僵尸网络开发者在建立僵尸网络的能力上,将变得更加有创意和隐密,更加难以瓦解。
九、采访僵尸网络猎人
Cyren的网络安全专家Geffen Tzur谈论了对抗僵尸网络犯罪所面临的成功与挑战。
怎么确定这是一个僵尸网络?
确定一个僵尸网络,您需要从全球各地的各种来源的多个网络交易之间的找到关联。在实际的工作中,一旦你有这个能力,就有多种不同的方法来识别僵尸网络。
在这里我们介绍一种方法,就是尝试识别那些受感染的计算机之间的相关性,使用Web安全网关检测来自不同来源的相同异常现象。例如,犯罪份子在HTTP传输过程中可能利用相同的非标准端口,并将数据发送到相同的目标服务器上。当你汇集数据、分析日志时,你就有可能发现异常情况。同样,一个发送垃圾邮件的僵尸网络通常从多个不同的IP地址发送同样内容的邮件。Cyren的邮件服务器就是使用这种技术来探测垃圾邮件僵尸网络的。
安全专家怎么识别P2P僵尸网络?
识别P2P僵尸网络具有很大的挑战性,最大的问题是P2P僵尸网络没有单独的服务器供僵尸主机来通联。可以有多达数千台个人电脑一起工作,并且你有时无法分辨出哪个才是C&C服务器。识别P2P行为通常包括检测来自一台服务器的不同连接的数量---网络犯罪份子是否打开了太多的非标准的目的端口,这种方法在安全解决方案中可以经常看到。
从恶意软件本身可以判断出特定僵尸网络的线索吗?
通过动态分析恶意软件,我们可以检测到典型的僵尸网络引起的行为,如注册代理、操作系统和环境信息采集,和网络识别。然后,这些行为可以被描述成一个配置文件,因此,相同的恶意软件的其他变种可以被标记为相同的僵尸网络。最终,当一个启发式的反恶意软件解决方案发现这些变种之一时,它可以分辨出相同的恶意软件家族。另处,当安全专家分析由僵尸网络传播的恶意软件时,可以通过在沙箱中检测恶意软件的典型行为、识别注册代理行为、僵尸网络行为,以及僵尸网络的网络识别、向C&C发送信息的尝试行为等。
僵尸网络是如何命名的?
安全专家给僵尸网络起名字时,经常基于一些词、短语、或是在二进制代码中看到的字符串。有时也可以基于相关的网络活动,比如服务器的名称或特殊的头部信息。不同的公司可以给出不同的名称。比如,Zeus僵尸网络在行业中有几个名称,如Zbot、Zeus Gameover、Trojan-Spy和Win32.Zbot。实际上,是由安全专家发布的名称,并不一定是僵尸网络所有者选择的名称。犯罪份子可以给僵尸网络起自己的名称,我们并不需要知道。
创建一个僵尸网络需要有专业的知识吗?
实际上,创建一个僵尸网络是相当容易的,不论是有一点基础知识的人、还是专业的人,都可以做到。你可以买一个现成的僵尸网络、或者雇佣别人帮你创建,或者让一个组织为你传播、购买C&C服务器,或者甚至租一个现有的僵尸网络,方法太多了。僵尸网络可被用于各种功能,如银行、垃圾邮件和网络钓鱼、黑客行为、和分布式拒绝服务(DDoS)攻击。我们也看到了创建僵尸网络的专用恶意软件、和僵尸主机专用的恶意软件。这是一个行业、是一个组织,可以提供僵尸网络的租赁和购买,就像是任何合法的服务。其中最著名的一例是Mariposa僵尸网络,三个犯罪份子购买了一个工具包,并创建了它。其实不需要什么特别的技能,我们经常发现一些“入门级”初学者创建的僵尸网络。
像任何其它软件一样,您也可以购买开源版本,使你能够创建一个僵尸网络。但这种软件可以被安全人员很容易的检测到,所以这种僵尸网络的存活时间可能不会太长。对于如何保护僵尸网络,你需要有逃避追踪的专业知识、技能,例如怎么在沙箱中不被激活,尤其是如何才能不被安全人员发现的太快。
怎么做一个功能上像Zeus的银行僵尸网络?
Zeus是一个僵尸木马恶意软件,在2007年到2010年间,感染了数百万台计算机。它通过监听浏览器进程窃取银行信息,检测按键并抓取网页表单数据,经常被人称为浏览器中间人攻击。一旦信息被窃取,它会将信息发送到一个远程主机,该主机通常是一个被控的服务器。然后,僵尸控制者取回这些银行凭证,通过被控的代理,登录到受害人的银行帐户,将钱转移到指定的银行帐户。这个银行帐户通过钱骡网络来控制--这个网络的任务是从这些银行账户取钱,通常设在没有银行监管的国家。然后骡子会将钱转移到僵尸网络控制者的组织中。
勒索软件是僵尸网络的一部分吗?
勒索软件可以依靠僵尸网络来传播,但是在传播以后,它们没有像僵尸网络一样的行为,比如同步操作。僵尸网络是一群计算机在一起工作,以执行连续的攻击。勒索软件和其它被感染的机器之间不需要同步操作。
现在似乎有很多安全公司和组织在跟踪僵尸网络,为什么关闭僵尸网络依然很难?
实际上,目前僵尸网络和恶意软件的数量远远多于安全公司的数量。让僵尸网络下线是一件相当复杂的事件。这一切主要由于超回避恶意软件的存在,他们能躲避安全软件的探测,安全公司发明的新探测方法和超回避恶意软件相比,往往落后一步。至于让僵尸网络下线----这通常需要执法部门和互联网服务供应商的配合,需要他们来做。在许多情况下,他们与安全厂商没有足够的合作和信息共享。在某些情况下,隐私问题和国家之间的法规又拖延或阻止了这种合作。而让执法部门和政府监管有所改变是很难的。最终,像Cyren这样的保护用户的安全公司,和执法部门相比,能更快的关闭僵尸网络。
租一个僵尸网络需要花多少钱?
这肯定是不一样的,租一僵尸网络的价钱从几千美元到几十万美元都有可能,价钱根据攻击类型、僵尸网络的目的,期望达到了破坏类型等等。
哪个行业是僵尸网络攻击最多的目标?
对银行和其他金融机构的攻击肯定是最多的,对政府的攻击将会继续增长。
僵尸网络在未来会如何发展?
传播勒索软件能得到高回报,它可能会继续让每个人都很忙。预计在未来,我们会看到越来越多的僵尸网络使用P2P架构,这种架构很难被探测到。利用物联网设备的僵尸网络会断续发展,而且会更加复杂。此外,僵尸网络将继续被用于恶意软件和垃圾邮件的传播。
十、在Necurs僵尸网络生命的前24小时
Necurs是一个臭名昭著、极端危险的僵尸网络,在全球传播像“wildfire”这样的恶意软件,直到2015年十月份,在一个国际执法部门的努力下,它被下线了。然而,几个月后,这个神秘的僵尸网络又出现了,并开始传播Dridex和Locky恶意软件,在2016年六月份又一次消失了。几周之后,又出现了,并开始传播Locky恶意软件。为了更好的理解Necurs,及它是如何工作的,Cyren的安全专家重现并分析了一个真实的Necurs僵尸网络前24小时的活动。
第一天:
9:46 AM.传送
僵尸恶意软件通过邮件方式到达欧洲的一台计算机,“crashreporter.exe”恶意软件作为邮件的附件,并伪装成“Mozilla基金会”。这个僵尸恶意软件属于Necurs僵尸网络,Cyren将其作为“w32/necurs.c.gen!eldorado”,成功的探测到。
10:03 AM.感染
未加怀疑的受害人打开了邮件和邮件附件。
10:05 AM.环境感知
在启动以后,僵尸程序运行的第一阶段是搜索已知的虚拟环境指标、及调试器、和其它的监控工具,如果发现存在这样的环境或工具,根据僵尸软件的运行流程,它会将自己结束掉。
10:05-10:08 AM.创建一个合适的工作环境
在这个例子中,僵尸程序将自己复制到以下几个位置:
并将自己复制到临时文件夹:
然后,检查机器的语言环境(有些情况下,当检测到某些语言环境时,恶意软件将会主动结束),比如,Locky勒索软件不会在俄语系统中运行。在这个例子中,该僵尸软件检测到这个机器是英语环境,接下来,它做了以下几件事:
a. 给syshost.exe程序创建一个服务,名称为“syshost32”(对于受害人,这个名称可能不会引起注意),然后启动服务。
b. 删除之前创建的临时文件。
c. 通过几个命令,绕过计算机的防火墙和白名单。
10:08 AM.连接控制端
僵尸程序开始确定计算机能否联网,通过连接DNS服务器,并访问“Facebook.com”,如果DNS服务器解析了“Facebook.com”域名,僵尸程序为了找到一个响应的C&C服务器,会立即发起域名生成算法(DGA),并首先尝试以下四个域名:
如果上面四个域名无法连接,接下来,僵尸程序为了连接到C&C服务器,会实施B计划。
10:09-10:19 AM.尝试一个新计划
在检查了正确的时间后,僵尸程序为了找到C&C服务器,开始第二次尝试,首先对“qcmbartuop.bit”中的数据进行57次尝试解析,如果失败,就对“Microsoft.com”进行尝试解析,如果还是失败,就进行C计划。C计划是使用域名生成算法,尝试连接2076个域名。以上所有都失败的话,还会有一个D计划,它会尝试连接一个C&C服务器,IP地址作为硬编码已经被写入到了程序中。在10.12分,从该IP服务器上得到了回应,这个机器正式沦陷了。
10:20 AM.联通
最后,从一个硬编码的IP服务器得到了回应,僵尸主机成功上线,成功连接到了一个位于乌克兰的C&C服务器。僵尸主机将机器的有关信息进行加密,并上传给C&C服务器,然后僵尸主机随时等候下一步的命令。
11:13-4:30 PM.接收任务数据
乌克兰的C&C服务器向僵尸主机发送大量的数据。包括软件的升级、目标地址、及稍后要发送的垃圾邮件的内容。此外,僵尸主机还尝试连接了其它C&C服务器,但都失败了。
10:21-11:14 PM.开始发动垃圾邮件攻击
该僵尸主机根据当天收到的指令,开始发送垃圾邮件。时间似乎是经过选择的,确保在美国的工作时间中。首先,僵尸主机开始寻找能用于发送垃圾邮件的SMTP服务器。起初尝试连接Gmail MX和Yahoo的服务器,但是都被拒绝了。几次尝试之后,成功连接到Yahoo和Hotmail的服务器,然后开始发动垃圾邮件攻击。
在11:14,“live.com”通知僵尸主机:“我们对于每小时和每天发送的消息数量是有限制的”,然后僵尸主机主动停止了当天的攻击。
第二天:
10:47 AM.勒索软件攻击
在晚上已经收到了附加的加密信息,该僵尸主机开始通过发送钓鱼邮件的方式传播Locky勒索软件,邮件包含一个附件,该附件是一个经过压缩的JavaScript下载者。
11:00 AM.完成了一天的工作
在最初的24小时里发生了很多事情,想像一下,在僵尸网络所有僵尸主机的共同努力下,这是一个怎样的效果啊。
经验教训
在前24小时的生命中,该僵尸恶意软件被安装到计算机中,然后找到C&C服务器、自身软件升级、传播垃圾邮件、和Locky勒索软件。包含了三个关键点:
1.僵尸主机尝试了成千上万种不同的选择,非常执着的找到了一个C&C服务器。
2.这个已经有两年的旧恶意软件成功的被一个工作的C&C服务器所管理,C&C服务器迅速对其进行了升级,证明了潜在威胁的弹性。
3.该僵尸程序在相当长的一段时间中是不活跃的,可能由于以下几个原因:(a)等待更长的时间会自动防止沙箱的检测;(b)非活跃状态可以减少被感染计算机的资源使用;或者(c)僵尸程序的垃圾邮件/恶意软件活动是针对一个特殊的目标。
十一、躲在暗处:僵尸网络如何掩盖通信
僵尸网络最大的弱点在于僵尸主机需要和C&C服务器进行通信,因为通过网络流量可以发现它。因此,网络犯罪分子使用各种方法来混淆僵尸网络通信,使它更难检测到僵尸主机的存在。多年以来,网络犯罪分子已经探索和发展了一系列越来越复杂的方法,来确保他们的非法网络能共享关键信息和指令。
基于Tor的僵尸网络:Tor是一个众所周知的匿名通信工具,引导用户的互联网流量通过一个免费的、被设计成跳转数千次的全球网络,用来躲避各种类型的监控或分析,从而隐藏用户的位置和习惯。最近,犯罪份子已经使用Tor来隐藏C&C服务器了,并运行在IRC协议之上。因为Tor是匿名的,用户的身份是隐藏的。在加上,所有的Tor流量都是加密传输的,因此,它能避过入侵检测系统,而且使用Tor网络是合法的。但是Tor网络也有一些缺点,这些缺点也影响到了僵尸网络,包括延迟、减速、和不可靠。
域名生成算法(DGA):因为C&C服务器的域名通常是作为硬编码写入到程序中的,安全方案可以相对容易的找到并阻止它们。为了避免被阻止,一些僵尸网络采用了域名生成算法,可以生成大量域名,从而使安全方案阻止它们变得很难。当然,并不是所有域名都会起作用,僵尸程序通常会遍历这个列表,直到找到一个能正常通联并使用的C&C服务器的域名。就像前面我们讲到过的,Necurs僵尸网络就使用了DGA。
互联网中继聊天(IRC)僵尸网络:IRC协议被第一代僵尸网络采用并用于犯罪目的。在一个IRC僵尸网络中,僵尸主机会作为一个客户端去连接IRC,并自动执行功能。IRC僵尸主机比较容易创建和管理,但安全专家通常有能力识别出这些服务器和僵尸控制者、并关闭僵尸网络。最近,IRC僵尸网络经历了一个小的复苏,得益于某些技术的发展,如使用多个C&C服务器,这使快速关闭IRC僵尸网络的机会变得少了。
加密/复杂协议:不仅仅是对消息进行加密,而且最好使用特殊的僵尸网络协议。就像后面我们要讲到的例子一样,任何通信字符串前都有多个报头和代码,这使得理解僵尸网络数据变得非常难。一些僵尸网络恶意软件,比如Gameover Zeus的木马,传播的恶意软件和C&C的通讯都会被加密。在这个例子中,从被控服务器下载恶意软件时用了SSL进行加密,恶意软件被安装后,僵尸主机和C&C服务器的通信数据也会被加密。
社交网络:为了有效的躲避探测,新的恶意软件使用了社交网络,和基于WEB邮件的C&C通信。安全研究人员已经发现有些恶意软件从tweets和Pinterest的评论中接收C&C的数据。
隐写术:数字隐写技术可以利用一个文件、消息、图片、或视频,来隐藏一个文件、消息、图片、或视频。僵尸主机可以利用这种技术,下载一个看似无害的图片文件,但实际上包含了C&C服务器发送给僵尸主机的复杂的消息流。这个图片中可以存储任何数据。实际上,这种来自于看似正常的网络浏览流量、而且又经过了隐藏的数据,很难被探测到。
将通信隐藏到合法服务中:和社交网络相似,如Dropbox,Pastebin,Imgur和Evernote,都可以隐藏僵尸网络的操作。就Dropbox来讲,C&C服务器的地址可以隐藏到Dropbox帐户的文件中。在Imgur下,通过“Rig exploit kit”工具,受害人可以下载某种形式的勒索软件的数据。勒索软件可以将受害人机器上的文件和收集的信息进行加密,并重新打包成一个.png格式的文件,然后上传到Imgur的相册中,C&C服务器再从相册中取出数据。
全球C&C服务器分布图:
上图显示:位于美国的C&C服务器占到总数的30.09%,其次是荷兰,占到8.85%。
一、Cyren的研究:对C&C通讯的分析
Cyren对Gatak僵尸网络的恶意软件进行了分析研究,发现它使用了一个复杂的加密协议。下图是一个已经解密的僵尸主机发送给C&C的数据包,目的是为了报告僵尸主机的状态:
如上图,位置按16进制表示:
从第0x00开始的16个字节:是shellcode的密钥ID。
从第0x10开始的04个字节:是4字节的CRC校验值。
从第0x14开始的16个字节:是shellcode的16字节随机生成的命令ID。
从第0x24开始的16个字节:是shellcode的16字节随机生成的功能ID。
第0x34字节:消息的字节头。
从第0x35开始的08个字节:消息的8字节会话ID,在首次和C&C服务器通信时会初始化为0。
第0x3D字节:僵尸主机的命令标志(后面会讲到)。
第0x3E字节:成功/错误的标志,0表示成功。
第0x3F字节:信息标志,如果信息长度大于1024字节,设置为1。
从第0x40开始的04个字节:信息的长度。
从第0x44开始:信息本身。
僵尸主机的命令标志信息如下图(上图第0x3D字节):
下图是一个已经解密的C&C发送给僵尸主机的数据包:
从第0x00开始的04个字节:4字节的CRC校验值。
从第0x04开始的16个字节:16字节的C&C服务器的命令ID。
第0x14字节:消息的字节头。
从第0x15开始的8个字节:消息的8字节会话ID。
第0x1D字节:僵尸主机的命令标志。
二、幽灵域名:规避检测技术
当恶意软件样本被多个反病毒厂商检测到时,C&C服务器的URL就不能再用了,该URL将会被很多WEB安全系统所屏蔽,导致僵尸主机无法解析出URL的地址,无法访问到C&C服务器。显然,这是僵尸控制者面对的重要问题。那么怎么办呢?使用一种技术更改域名,这种技术被Cyren的研究人员称为“幽灵域名”。即在僵尸网络通信的HTTP域名字段中插入未知的域名,包括注册和未注册的,可以欺骗很多WEB安全系统和URL过滤系统。
例如,幽灵域名怎么作为网络犯罪分子规避的方法,Cyren分析师观察恶意软件对www.djapp.info域名进行DNS解析,IP地址是52.1.45.42。
Cyren和其他几个安全厂商将这个域名标记为一个恶意的域名,并将它作为C&C的地址阻止了。结果就是,在受这些厂商保护的网络中,所有对这个域名的HTTP请求都被阻止了。
然而,当其他机器用DNS解析了这个IP地址后,对一个新感染的僵尸主机向C&C发送的数据进行分析,显示出以下的HTTP传输。这是在通知C&C服务器,有一个新的机器成功被感染了。
上图显示,使用了不同的域名来连接52.1.45.42(多个域名指向同一个IP,之前的一个域名已经被屏蔽了)地址。
目的地址是已知的恶意服务器,但是在HTTP请求的域名字段中使用了完全不同的域名--Cyren称为“幽灵域名”。在这个例子中,用于欺骗的幽灵域名是“events.nzlvin.net”和“json.nzlvin.net”,都指向52.1.45.42。
这个技术可以从以下几个方面帮助僵尸网络控制者:
1.WEB安全系统和URL过滤系统不会阻止幽灵域名,因为它们只会阻止原始的被解析的域名(在这个例子中只会阻止www.djapp.info)。
2.当收到这个“编码的”消息(说明主域名被屏蔽,僵尸主机使用了幽灵域名才发出了这个消息)时,僵尸控制者可以操纵服务器发送一个适当的响应。例如,给僵尸主机发送一个响应包,让它下载另一个特殊格式的恶意软件,并执行。
3.通常,安全厂商只会屏蔽C&C的域名,和C&C的URL有关的IP地址不会被屏蔽,因为一个服务器上可能同时存在合法的网站、和有恶意行为的网站,如果将这个IP整个屏蔽,会造成一些合法的服务无法访问到。
在那段时间,Cyren更新了自己的URL信誉数据库,Cyren的分析员检查了是否有安全厂商能检测到“events.nzlvin.net”和“json.nzlvin.net”两个幽灵域名,使用上面提到过的的HTTP请求。多个安全厂商可以将“www.djapp.info”标记为恶意域名,但是没有厂商能标记出幽灵域名。
在接下来的几个小时中,Cyren的沙箱阵列不断积累了关于该恶意IP的数据,在这个过程中,发现了一长列和它有关的幽灵域名。
尽管它们中的有些是注册的域名(创建于恶意软件出现的那几天),有些没有注册的域名。
三、自卫:探测你网络中的僵尸
俗话说的好,“预防为主,治疗为辅”,这也同样适用于互联网安全。如果将避免感染放在首位,那显然是理想状态,实际很难实现,因为各种规避技术总是能愚弄许多安全系统。
为了找到内部的僵尸主机,最好遵循以下建议---为了探测一个僵尸主机,你应该寻找僵尸主机和C&C服务器的双向通信,有几个警告标志和方法,一个企业可以用这些找到存在的僵尸主机:
检查邮件流量,如果由你的公司发送的邮件被收件公司或ISPs拒绝,这可能预示着从你公司发出的邮件被列入了黑名单,可能是由于你网络中存在僵尸主机,从事了垃圾邮件活动。
利用公司防火墙。这可以检测到那些可疑的端口行为或未知的网络传输。
安装一个入侵防御系统。这类系统具有内置的开放源代码或检测僵尸主机流量的厂商自定义的规则。
使用Web安全/网址过滤系统。这类系统,如Cyren的WebSecurity,能阻止僵尸主机和C&C的通信,并帮助管理员识别出僵尸主机的位置,从而清除它。
考虑在你的网络上创建一个“暗网”。通过在你的局域网中创建一个子网,并记录访问这个子网的所有日志,通常不应该有流量被路由到它里面。你可以看一看有哪些计算机不听从你正常的网络设置;例如,这些计算机可能正在扫描他们打算感染的网络上的节点。
使用厂商专门检测僵尸主机的安全解决方案。有厂商专门从事僵尸主机的检测,并依靠行为分析,使用日志分析和流量分析相结合的方法。
一旦检测到异常的流量,下一步做的就是追查源头。网络安全解决方案提供了最大的可能来发现谁损害了你的网络。首选方案应该可以给用户提供简化识别过程的办法,特别是当用户在网络地址转换(NAT)设备之后。
四、Cyren Globalview威胁趋势|2016年第3季度
“Cyren Globalview”季度安全指数已经发布,包括网络威胁的主要类型和全球趋势指标。这些指标是根据“Cyren Globalview”云安全数据生成的,它处理了超过6亿用户的WEB和邮件事件。
根据Cyren云安全的监控,第三季度和第二季度的数据相比,钓鱼URL增长了22%,第三季度新增的钓鱼网站大约有1百万个。而WEB恶意软件的URL数量下降了10%,检测到的特殊恶意软件样本的总数增长了20%,特殊安卓手机恶意样本增长了32%,本季度平均每日邮件恶意软件的数量增长了59%,主要是由于Locky勒索软件在第三季度每周有5天都在持续活跃中。
具体数据如下图所示:
上图显示的是钓鱼威胁指数:在第三季度增长了22%。
上图显示的是WEB恶意软件的URLs威胁指数:在第三季度减少了10%。
上图显示的是垃圾邮件威胁指数:在第三季度增长了2%。
上图显示的是恶意软件威胁指数:在第三季度增长了20%。
上图显示的是Android恶意软件威胁指数:在第三季度增长了32%。
上图显示的是邮件恶意软件威胁指数:在第三季度增长了59%。
本文由 安全客 翻译 原文链接:http://pages.cyren.com