前言- 触目惊心的一组数据
刚刚看了Symantec 赛门铁克公司三月份最新发布的互联网安全报告。有这么一组数据令人震惊。[1]
  • 北京市是全球感染Bot 计算机数目最多的城市,占总感染量的5%
  • 中国是全球感染Bot 计算机数目最多的国家或地区,占总感染量的26%
  • 美国是全球拥有Botnet 控制中心最多的国家或地区,占40%。
这组数据的背后的含义是什么?要回答这一点,我们先看看什么是Bot ?什么是Botnet?
    Bot/Botnet
目前对Botnet 没有特别权威的翻译。有许多翻译为“僵尸网络”,实际上并不完全准确。“僵尸网络”实际上是“zombie network”的翻译,它是比喻恶意Botnet的表现形式。还有的翻译为“波特网”或“机器人网络”。在本文中,为了避免混淆,将直接使用Bot和Botnet。
Bot ,这个词是从“Robot”这个词变化来的,用来指在互联网上,可以自动执行特定任务的软件程序。[2] 这些特定的任务可以是在网络上查询特定信息,报告天气,参加网络竞拍等等。
但是,对于一个恶意的Bot 来说,执行的任务就会变成:
  • 散布病毒,间谍软件或广告软件
  • 发送垃圾邮件
  • 网络访问代理
  • 执行DDOS***
  • 窃取敏感信息,如银行密码
  • 自动拨号
  • 等等
本文以下的Bot 均指的是恶意的Bot。
Botnet ,顾名思义,就是由若干Bot(感染Bot的计算机)构成的网络。在网络中,存在一个控制中心(Command and control center)。每台感染Bot的计算机一般通过Internet Relay Chat(IRC)方式与控制中心建立连接,接受来自控制中心的指令。这样,***者就可以通过控制中心,集中管理Botnet内的所有机器。也就是说,一台感染Bot的计算机,它的一举一动都可以被远程监控和控制,如同僵尸(zombie)一般。这就是Zombie Network这个词的来历。
推动Botnet 发展的因素之一就是实在的经济利益,钱。一个Botnet的控制者,可以和广告软件的发布者合作,以增加相应站点的点击率;可以和垃圾邮件的发布者合作,一次发布成千上万封的垃圾邮件;或者是DDOS***,如网络勒索。就像强收保护费一样。如果一个中小型网站不付钱的话,就让Botnet控制的所有机器都恶意访问这个网站,以打乱其正常的商务活动。
Bot***实例分析
我们来看看一个典型的Bot 是如何***普通用户的。Rbot是目前最为流行的Bot***程序之一。它是如何运作的?
第一步:远程***存在安全漏洞的机器
常见被Rbot 利用的安全漏洞有:
  • DCOM RPC 安全漏洞(Microsoft安全通告MS03-026)
  • UPnP安全漏洞(Microsoft安全通告MS01-059)
  • LSASS安全漏洞(Microsoft安全通告MS04-011)
等等
另外一种常见的***方式是通过社会工程,例如作为一个电子邮件的附件发送给用户,或者通过IM 让用户下载。
第二步,加入Botnet
一旦Rbot 开始运行,它就会有以下几个动作:
  • 将自身加入到系统自动运行的程序中。例如,在
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,创建相应的注册表信息,这样每次系统启动,它都会自动被执行。
  • 关闭某些特定程序,如防火墙,系统自动更新。
  • 连接IRC 服务器,即Botnet的控制中心。
  • 扫描其他机器,以测试是否可以被成功***。
第三步,接受来自Botnet控制中心的指令
一个Rbot 可以接受的控制指令。
  • 更新Rbot 版本
  • 窃取密码
  • 访问特定http 站点
  • 屏幕截图
  • 报告系统信息
  • 开启shell
  • 执行特定程序
  • 等等
    数据背后的含义
回顾一下Symantec报告中的数据。
北京市是全球感染Bot 计算机数目最多的城市,占据总感染量的5%。中国是全球感染Bot计算机数目最多的国家或地区,占据总感染量的26%。
作为对比,美国是全球感染Bot 计算机数目的第二位,占据总感染量的14%。
根据报告,Symantec 全球检测到6049594 台感染Bot的计算机。那么,北京就有三十万左右,中国就有一百五十万台左右感染Bot的计算机。
另一方面,我们知道,感染了Bot 的计算机是被其加入的Botnet的控制中心完全控制的。美国是全球拥有Botnet控制中心最多的国家或地区,占40%。作为对比,中国的控制中心比例是5%,列第四位。
这就意味着在国内大部分被感染了Bot 的计算机是被国外的控制中心所控制。这里需要指明的一点是,一个Botnet的控制中心设在美国,并不意味着Botnet的控制者本身就在美国。一个来自东欧的***者完全可以通过一个在美国的控制中心来控制一台在德国的机器。另一个角度来说,国内的普通用户,由于配套的安全措施和安全意识的不足,已经成为全世界有组织的计算机犯罪团体的目标。一个标志是源自国内的垃圾邮件的发送量不断增加,这与国内感染了Bot的计算机的数目增加不无关系。
随着越来越多的国内普通用户使用宽带连接,我们可以预测国内感染了Bot 的计算机的数目在近几年内还会不断增加。
    总结
国内高速互联网的迅速发展,给越来越多的普通用户带来便利的同时,也同时带来了风险。相应的安全保护措施,普通用户的安全意识和教育的培训,都远远没有跟上。中国已经成为全球感染Bot 计算机数目最多的国家。
希望这篇文章可以敲响用户的安全警钟。
五    参考文献
 
1, Symantec Internet Security Threat Report, Trends for July–December 06
[url]http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xi_03_2007.en-us.pdf[/url]
 
2, Internet Bot, [url]http://en.wikipedia.org/wiki/Internet_bot[/url]
来源: [url]http://blog.csdn.net/chengyun_chu/archive/2007/03/24/1540035.aspx[/url]