安全专家谈国内僵尸网络的现状与发展
【51CTO.com 专家特稿】 诚信网安-子明
一、引言
近年来随着金钱的不段诱惑,和体内荷尔蒙的过多分泌,造成很多技术性天才做着一夜暴富的春秋大梦,越来越多的黑色产物不断的诞生,从2003年国外 某安全团队第一时间发现sql 注射漏洞之后,到2004年国内几个天才高手开发出第一款NBSI国内第一款全自动后台扫描注入工具的诞生,随之而来的是更多的国内外网站被入侵,从国外 的一份安全报告上来看,NBSI已经成为了国外检查相关站点进行渗透攻击测试的最有力武器,国人的伟大的智商让国外的黑客团队都大为钦佩,也算是洗刷了国 外一直对我国黑客称之为脚本猴子的前耻,2006年的“熊猫烧香”,这个世界第一毒王的诞生,网络上一直传言着李俊靠这个代码获取了高达千万的巨额资金, 在这里我是成否定态度的,这样的代码就是在黑色交易下面也不过几千块人民币而已,因为从整个的病毒源代码来看,李俊本人的编码水平并不能算高明,更多的来 看就是一些网络上公布的源代码的摘抄,整个病毒就是一个代码堆叠。但是也因为国人缺乏安全意识而中招,成为了一些专业刷流量赚取国外广告费用的黑色产业链 里面另一黑色经济组织的青睐。由于黑色经济的影响,造就了全世界到处都是“硝烟弥漫”,疯狂的蠕虫、讨厌的垃圾邮件、阴险的网络钓鱼、可恶的间谍软件,还 有防不甚防的拒绝服务攻击天天都出现在我们越来越赖以生存的互联网中。大量的安全人士投入到与它们的斗争中,也提出了相当多的防范治理措施,研究工作日趋 深入。但这些威胁并没有得到有效的控制,反而在技术上安全工作者面临了更多更大的挑战,造成这种现象的一个重要原因,是危害制造者开始采用一些既能保护、 隐藏自身,又能更加高效地实施这些攻击的方法,僵尸网络就是其中之一。
僵尸网络(英文名称:Botnet),有别于以往简单的安全事件,它是一个具有极大危害的攻击平台。利用该平台,攻击者能够发起各种各样的破坏行 为,由于平台的搭建使得这些破坏行为产生聚合,造成比传统破坏行为更大的危害,并且使得攻击的防范难度增大。僵尸网络将攻击源从一个转化为多个,乃至一个 庞大的网络体系,通过网络来控制受感染的系统,同时不同地造成网络危害,如更快地传播蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发 起大范围的DDoS攻击等,受控网络的存在,给危害追踪和损失抑制带来巨大的麻烦,这也就是僵尸网络迅速发展的原因。
目前,僵尸网络已经成为国内乃至全世界的网络安全领域最为关注的危害之一。
二、僵尸网络的原理和危害
(一)基本概念:
Bot:机器人(Robot)的缩写,是一段可以自动执行预先设定功能,可以被控制,具有一定人工智能的程序。通常带有恶意代码的Bot被秘密植入受控计算机,主动连接服务器接受控制指令,并依照指令完成相应功能。
Zombie:被包含恶意代码的Bot感染或能被远程控制的计算机,又名僵尸计算机。
IRC Bot:利用IRC协议进行通信和控制的Bot。通常,IRC Bot连接预定义的服务器,加入到预定义的频道中,接收经过认证的控制者发出的命令,执行相应的操作。运用IRC协议实现Bot、服务器和控制者之间的通 信和控制具有很多优势,因此目前绝大多数的Bot都基于IRC协议。
Command & Control Server: IRC Bot连接的IRC服务器称为命令和控制服务器,控制者通过该服务器发送命令,进行控制。
Botnet:僵尸网络,由大量能够实现恶意功能的Bot、Command & Control Server和控制者组成,能够受攻击者控制的网络。攻击者在公开或秘密的IRC服务器上开辟私有的聊天频道作为控制频道,僵尸程序中预先已经设定好这些 信息,当僵尸计算机运行时,僵尸程序就自动搜索并连接到这些控制频道,接收频道中的所有信息,这样就构成了一个IRC协议的僵尸网络。攻击者通过IRC服 务器,向整个僵尸网络内的受控节点发送控制命令,操纵这些“僵尸”进行破坏或者窃取行为。通常频道设置为隐秘并加上密码防止非Bot用户进入,如图-1所 示。除了IRC僵尸网络外,还存在一些其他的僵尸网络,如:
AOL Bot:登陆到特定的AOL服务器等待控制者发送指令。AIM-Canbot和Fizzer就采用这种方式。
 |
|
图
-1
基于
IRC
协议的僵尸网络结构
|
僵尸程序与木马、蠕虫、间谍软件的异同,如表-1:
僵尸程序可以通过木马、蠕虫进行传播。通常表现为在蠕虫体内包含Bot,当蠕虫成功感染计算机时,就释放出Bot;或者当木马、蠕虫成功侵入电脑 后,从网上下载恶意Bot到本地主机。僵尸程序与蠕虫最大的区别就在于蠕虫具有主动传播性,另外蠕虫的攻击行为不受人控制,而相反僵尸程序的存在就是为了 使得攻击者能够控制受感染的电脑。
僵尸程序和木马有着功能的相似性――远程控制计算机,但在功能实现上略有区别,僵尸程序都能突破内网和防火墙限制,这是传统正向连接的木马无法比拟 的。僵尸程序使用特有的IRC协议下的DCC命令或者其他载体进行传播,由于预设指令的存在,传播过程更显主动,且受感染的电脑仍受控制,这也比木马高明 些。
间谍软件被用来窃取用户敏感信息,而僵尸程序也能实现这一功能,还能下载间谍软件到受影响主机。
|
类型
\
特点
|
传播性
|
可控性
|
窃密性
|
危害性
|
|
僵尸程序
(
Bot
)
|
可控传播
|
高度可控
|
有
|
完全控制远程计算机
|
|
蠕虫
(
Worm
)
|
主动非受控传播
|
不可控
|
无
|
占用主机和网络资源
|
|
木马
(
Trojan Horse
)
|
干预传播
|
可控
|
有
|
完全控制远程计算机
|
|
病毒
(
Virus
)
|
干预传播
|
不可控
|
无
|
破坏文件
|
|
间谍软件(
Spyware
)
|
负载传播
|
不可控
|
严重窃密
|
窃取信息
|
表
-1
恶意程序特点对比
(二)僵尸网络的形成
目前最常见的僵尸网络都是基于IRC协议的,这个应用层协议给人们提供了一个IRC的服务器和聊天频道进行相互的实时对话。IRC协议采用C/S模 式,用户可以通过客户端连接到IRC服务器,并建立、选择并加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。 频道的管理员可以设置频道的属性,比如设置密码、设置频道为隐藏模式。
攻击者通常编写自己的IRC Bot,它只支持部分IRC命令,并将收到的消息作为命令进行解释执行。编写好僵尸程序,建立起自己的IRC服务器后,攻击者会采用不同的方式将僵尸程序 植入用户计算机,例如:通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、利用社会工程学,通过电子邮件或者即时聊天工具,欺骗用户下载并执行僵尸程 序、利用IRC协议的DCC命令,直接通过IRC服务器进行传播、还可以在网页中嵌入恶意代码等待用户浏览,2004年CNCERT\CC发现了1700 多个网页利用此类技术欺骗诱惑用户访问而植入恶意程序。
当Bot在被感染计算机上运行后,以一个随机的Nickname和内置密码连接到特定的IRC服务器,并加入指定的频道。攻击者随时登陆该频道,并 发送认证消息,认证通过后,随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。Bot读取所有发送到频道的消息或者是频道的标题,如果是已 通过认证的攻击者的可识别的指令,则立即执行。
通常这些指令涉及更新Bot程序、传输或下载指定文件、远程控制连接、发起拒绝服务攻击、开启代理服务器等等。
随着Bot大范围的快速传播,攻击者渐渐将原本不相关的计算机联系起来,通过预设的僵尸程序的指令,连接到指定的IRC服务器,接受攻击者的控制,形成一个庞大的网络体系,这就是僵尸网络的初步形成。而后由这个平台发起更多的、更加隐秘的扩展入侵行为,如图-2所示。
 |
|
图
-2
僵尸网络的基本形成过程
|
(三)僵尸网络的危害
比起传统的网络安全事件,僵尸网络更显复杂和严重。其传播速度快,传播途径多,隐蔽性强,技术含量高,影响破坏大,加上以往各种网络攻击手段的使 用,僵尸网络促使新的未知攻击产生,令许多业内人士感到惊讶,并引起了安全工作者的极大关注。僵尸网络的危害主要分为以下几个方面:
远程完全控制系统
僵尸程序一旦侵入系统,会像木马一样隐藏自身,企图长期潜伏在受感染系统中,随时等待远程控制者的操作命令。
释放蠕虫
传统蠕虫的初次传播属于单点辐射型,如果疫情发现得早,可以很好的定位并抑制蠕虫的深度传播;而僵尸网络的存在,使得蠕虫传播的基点更高,大范围 内,将可能同时爆发蠕虫疫情,僵尸计算机的分布广泛且数量极多,导致破坏程度成几何倍数增长,使蠕虫起源更加具有迷惑性,给定位工作增加巨大的难度。
发起分布式拒绝服务攻击
正如前面提到的2004年的网络安全事件一样,DDoS已经成为僵尸网络造成的最大最直接的威海之一。攻击者通过庞大的僵尸网络发送攻击指令给活跃 的(甚至暂时处于非活跃状态的)僵尸计算机,可以同时对特定的网络目标进行持续的访问或者扫描,由于攻击者可以任意指定攻击时间、并发任务个数、以及攻击 的强度,使这种新式的拒绝服务攻击具有传统拒绝服务攻击所不可比拟的强度和危害。
窃取敏感信息
由于僵尸计算机被远程攻击者完全控制,存储在受感染电脑上的一切敏感信息都将暴露无遗,用户的一举一动都在攻击者的监视之中。
发送垃圾邮件
垃圾邮件给人们的日常生活造成极大的障碍,而利用僵尸网络发送垃圾邮件,首先可以隐藏自身的真实IP,躲避法律的追究;其次可以在短时间内发送更多的垃圾邮件;再次反垃圾邮件的工作和一些过滤工具无法完全拦截掉这些垃圾邮件。
强占滥用系统资源,进行非法牟利活动
僵尸网络一旦形成,就相当于给控制者提供了大量的免费的网络和计算机资源,控制者利用这些资源进行非法的暴利谋取,种植广告件、增加网站访问量、参与网络赌博、下载各类数据资料、建立虚假网站进行网络钓鱼等等。
作为跳板,实施二次攻击
攻击者利用僵尸程序,在受感染主机打开各种服务器代理或者重定向器,发起其他攻击破坏,而这样可以隐藏自己的真实位置,不容易被发现。
总之,僵尸网络不是一种单一的网络攻击行为,而是一种网络攻击的平台和其他传统网络攻击手段的负载综合,通过僵尸网络可以控制大量的计算机进行更快、更猛的网络攻击,这个普通用户和整个互联网造成了严重的危害。
总之,僵尸网络不是一种单一的网络攻击行为,而是一种网络攻击的平台和其他传统网络攻击手段的负载综合,通过僵尸网络可以控制大量的计算机进行更快、更猛的网络攻击,这个普通用户和整个互联网造成了严重的危害。
三、国内“僵尸网络”的起源和发展
早在2001年,国内一些安全爱好者就开始研究僵尸程序,起初只是出于对这种新技术的学术研究,而且没有将这些原本就不带有很多恶意功能的僵尸程序 流传出来,所以并没有出现什么危害。但国外的僵尸网络发展早我们很多,受国外技术和正在泛滥的僵尸程序的影响,越来越多的国内编程爱好者着力打造自己的僵 尸程序,促使了全球范围的僵尸网络的迅速发展。2003年3月8日,在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就 可以视为僵尸网络,它的一个特点是:被它感染的计算机会主动和境外的13个IRC服务器建立连接,并且能够窃取受感染计算机上的敏感信息。
如果说从2001年那种局限的研究,到2003年的口令蠕虫,并没有给我们的网络安全带来太多严重的害处,而经过几年的技术研究和积累,僵尸程序的 开发也逐渐被一些动机不纯的“家伙”所掌握。2004年末爆发的一场浩荡的僵尸网络攻击事件,就将这个埋藏在中国数年之久的隐患释放,造成的影响也让国内 乃至全球的网络安全工作者震惊。
2004年底,CNCERT/CC在处理一起网络安全事件的过程中,发现一个被黑客集中控制的、规模达到近十万个节点的计算机群。由于对网络和大批用户构成严重的安全威胁,从而受到国家有关部门的关注。这也是国内首次发现的大规模的僵尸网络,标志着国内僵尸网络的诞生。
发现事件的制造者乃是唐山一名黑客,他利用自己编写的僵尸程序组建成一个庞大的僵尸网络,对北京一家知名音乐网站进行拒绝服务攻击,导致该网站几十 万注册用户无法正常访问,造成重大经济损失。在公安部门、国家某安全实验室CERT小组和其他技术部门的通力协作下,于次年初破获这起重大的网络安全事 件。通过对该僵尸网络的追踪定位以及公安部的全力追查,长达三个月的攻击终于被停止,网站也得以恢复。
也就在国内这次僵尸网络的大曝光后,紧接着就是越来越多携带Bot的蠕虫涌入中国安全不完善的互联网。IRC Bot蠕虫家族越来越庞大,从去年十一月进行了一次Bot蠕虫的统计,统计报告显示,SDBot家族占到整个BOT Worm家族的45%,成为最流行的傀儡虫,RBot也占到19%,AGOBot以13%的比例排名第三,紧随其后的SPYBot、MYTob分别以 10%和8%。而这只是几个月前的统计分析,Bot爆发速度之快,是人们难以想象的。
去年8月,国内某安全实验室率先向国家和其他兄弟单位报告了Zotob的出现,该蠕虫是IRC Bot家族中新的一员,利用微软MS05-039漏洞进行传播。就在短短几天时间内,该蠕虫就产生出若干个变种,使其成为IRC Bot傀儡虫家族中的“新贵”。
此外,该实验室的VDS病毒监控系统为我们提供了另一组数据,我们对从2004年的9月到2005年9月所检测捕获到的Bot样本数量进行了统计。 其中,在04年的11月,捕获到的Bot样本数达到最高峰,数量在15000左右,进入2005年检测到的样本数趋于稳定,都在10000左右。
僵尸网络的发展,不只是其新的僵尸程序的出现,还反映在僵尸蠕虫在所有蠕虫中的比重越来越高。它们较一般的蠕虫,能更快的传播,并且攻击者通过蠕虫 传染所获得的利益也更大,因此攻击者更倾向于使用这种“可回收”、更强大的僵尸蠕虫。在去年年初,僵尸蠕虫就以78%左右比重雄居蠕虫榜首,在对蠕虫统计 时,发现在九月僵尸蠕虫达到全年高峰,以86%的数值创造了僵尸蠕虫在所有蠕虫中的比例新高。
自去年6月份以来,僵尸网络数量呈上升趋势。其中,从6月3日至9月19日,发现较大规模僵尸网络59个,平均每天发现3万个僵尸网络客户端,特别 是在去年8月19日到9月19日期间,他们监控发现了一个客户端规模超过15万的大型僵尸网络。2005年9月平均每天就有将近200个僵尸网络处于活跃 状态,而每个僵尸网络所控制的节点也不在少数。其中,僵尸计算机数在200-500范围内的僵尸网络占所有僵尸网络的27%,而在500-1000的占 18.5%,1000-5000的占17%,5000-10000占1%,规模在一万个节点以上的也有5%存在。
 |
|
图
-3
近年僵尸网络在国内的发现情况
|
如图-3所示,从2000年至今,僵尸网络的发展态势处于强势阶段,由于传播僵尸程序的途径的多变和各类入侵技术的复合使用,加之国内网络安全状况的不完善,人们安全意识不足,僵尸网络的爆发会越来越频繁。
就全球感染情况来说,目前,英国是感染Bot最多的国家。如表-2所示,已知感染Bot 的计算机中有32%来自英国,19%来自美国,7%来自中国,我国的Bot感染率赫然名列第三。安全公司表示,中国的宽带建设和网民增加的幅度巨大,而僵 尸网络的控制用户一般都是普通的个人宽带客户或SOHO用户,他们的安全意识和安全措施都相对薄弱,而且由于中国不少地区采用上网包月制收费方式,使这些 用户的电脑长期与高速互联网相连,为Bot植入提供了基础。
 |
|
表
-2
全球僵尸计算机增长情况
|
根据去年九月的另一份调查报告显示,全球的僵尸网络控制中心绝大多数分布在美国,比例达到36%,而中国以4%的比重与英国等几个国家共同名列第六 位。如图-3,这表明中国的僵尸计算机感染率增长迅速,而感染源大多来自国外,也就是说国内的僵尸网络还处于一个初步发展阶段。
 |
| 图-4 全球网络僵尸控制中心节点分布图 |
从以上几个方面来看,中国的僵尸网络发展迅速,尤其以僵尸程序的感染增长迅猛,而随着网络僵尸的深入研究和技术的普及,由中国境内控制的僵尸网络也 正在快速崛起,数量渐渐逼近高Bot感染的其他国家,且规模越来越庞大。据调查,2005年4月和5月间,每天约有15-17万的新的僵尸程序出现。其 中,位于中国的为15%-20%。中国与美国交替名列Bot感染源数量的榜首。我们无从验证这些数字的准确性,但是各种统计数字和安全事件都表明一个趋 势:僵尸网络的数量、规模和危害级别正在迅速增长。
进入2006年,僵尸程序在不断增加新功能的同时,更加注重隐藏自身。由于rootkit技术引入,让僵尸程序能够更好的隐藏自己,而不被Ring 3的检测工具检测出来,延长了僵尸程序的生存时间。对BOT蠕虫的rootkit使用情况进行了分析,在去年的十月份达到顶峰。
从以上的统计分析可以看出,自2003年起BOT傀儡虫的数量已呈等比级数成长,它们变得愈来愈复杂,也愈来愈危险,而且已证明一旦有任何网络安全 弱点被发现,随即就可能遭它们利用。去年公安部与相关技术部门查出的BOT网络涵盖全球超过20万个受害者。BOT已经迅速演变成最令人畏惧的安全威胁之 一,而且它的破坏威力可能没有任何安全威胁可与之匹敌。现在BOT蠕虫就像是所有恶意程序的瑞士刀,因为它们具备散发大量电子邮件的能力、可搭配 Rootkit使用、针对网络安全弱点攻击能力等等,因此侦测数量不断向上攀升。各个主要的BOT家族分别拥有数千个留有记录的不同变种。由于 Rootkit的运用,以及安全弱点从被发现到实际运用于攻击之间的时间缩短,BOT傀儡虫形成的僵尸网络,将会发展出更多强大的功能。黑客使用BOT僵 尸网络能为它们的创造者带来极大的非法利益,预计今年侦测到的新变种数量将会增加,所有的BOT,不论是已侦测出还是未侦测出的,都将被不断出现的功能更 强、隐蔽性更高的新变种所取代,而导致对于僵尸网络的侦测、追踪和监控面临更大的挑战。
新一代的僵尸网络的利用手段,传统的僵尸网络更多的是趋向于网络ddos攻击,由去年开始已经转变到利用庞大的僵尸兵团来完成点击广告,刷网络流量,通过控制端来完成针对傀儡主机上广告插件的安装,基本操作步骤如下
控制端给僵尸兵团中的傀儡主机---------------发送信息------------------------傀儡主机执行命令---- ---------访问早已设置好的一个ip地址---------------------通过访问该ip地址来下载一个广告插件---------- ------------造成一联网就默认访问已捆绑好的需要刷流量的网络主页-------另一种思路是:直接访问在国外架设好的色情站点------ -下载木马------傀儡主机(一个机构服务器)在内网进行arp欺骗或者pdf益处,来达到内网深度感染---------完成扫描和探测,发现机密 信息或者商业内幕信息-----------------进行暗箱操作,完成黑色交易
总述:僵尸网络更加趋向于智能化,由原来的不可控型变成了可控制,实现指哪打哪的新型战术。随着互联网的迅猛发 展,国内外的信息资源的共享,相信还会出现更多层出不穷的网络攻击,这也给我们这些从事网络安全研究的技术人员增添了更多的无形的对手,有矛就有盾,在攻 与防之间,也促使我们更多的学习更先进的技术,和研究出更有效的解决方法邪恶是战胜不了正义的,天网恢恢疏而不漏。
同时在这里我要感谢安天实验室cert组给我提供的一些详实的记录数据,同时我也在这里奉劝那些想学黑客的那些爱好者们,想学技术是没有错的,但是 你学习的心态一定要放好,不要以为黑下几个站点,利用木马获得一些游戏装备,利用字典工具配合傻瓜行入侵软件获得几个qq号。破了一些别人的信箱就以为这 就是黑客,那你就大错特错了,真正的黑客是从不做这些的,要说黑客,最大的黑客应该给billgates和linux之父。但是人家更多的是想着是如何的 让自身的系统更加的完善,更好的为我们服务。