BotNet专题之二--僵尸网络的发展历程及研究现状
本文章已发表在专家栏:
[url]http://netsecurity.51cto.com/art/200803/66895.htm[/url]
作者:诚信网安--叶子
[url]http://netsecurity.51cto.com/art/200803/66895.htm[/url]
作者:诚信网安--叶子
【51CTO.com 专家特稿】随着僵尸网络快速发展,成为国内乃至全世界的网络安全领域最为关注的危害之一。对于僵尸网络的研究人员也越来越多。在本篇文章中,叶子将讲述僵尸网络的发展历程,以及国内外对僵尸网络的研究现状。
在早期的IRC聊天网络中,管理员为了防止频道被滥用,更好地管理权限、记录频道事件等一系列功能,编写了智能程序来完成这一系列的服务。于是在 1993 年,在IRC 聊天网络中出现了Bot 工具――Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。Botnet是随着自动智能程序的应用而逐渐发展起来的。
20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。
2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。著名的有2004年爆发的 Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。
至于目前网络上流传的bot,更是各种情况传播手段的混合体,如结合病毒、木马、蠕虫、间谍软件、搜索引擎等传播手段。黑客对僵尸程序不断进行创新 和发展,如使用加密控制信道、使用P2P网络传播、使用Http隧道加密、定期更新bot程序的免杀功能等,使得我们对僵尸网络的发现、跟踪和反制更加困 难了。
从良性bot的出现到恶意bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。
黑客不断利用僵尸网络进行对某目标网站进行DDos攻击,同时发送大量的垃圾邮件,短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利等行 为,引起了国内安全公司的关注。最先关注Botnet的是反病毒厂商,它们从bot程序的恶意性出发,将其视为一种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。一些安全厂商定期发布恶意软件的安全 趋势分析报告。
学术界在2003年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟 踪和分析,如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005 年1月通过部署Win32蜜罐机发现并对近100个Botnet进行了跟踪,并发布了Botnet跟踪的技术报告。国际项目“honeynet project”在2004年11月到2005年3月期间,只使用两台蜜罐(1台通过Honeywall 记录日志,1台使用mwcollect捕获新的样本),就发现了180 个僵尸网络,每个的规模从几百个到几万个不等,共涉及到30万个被控主机。同时还收集到5500 个样本,共800 种(有些样本是相同的)。在2004年11月到2005年1月,共观察到406次ddos攻击,攻击目标共179个。
Botnet的一个主要威胁是作为攻击平台对指定的目标发起DDos(分布式拒绝服务攻击)攻击,所以DDos的研究人员同样也做了对Botnet 的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中,分析了基于IRC协议的bot程序的行为特征,在网络流量中择选出对应关系,从而检测出Botnet的存在。该组织的这个研究方 法通过在plantlab中搭建一个Botnet的实验环境来进行测试,通过对得到的数据进行统计分析,可以有效验证关于Botnet特征流量的分析结 果,但存在着一定的误报率。
国内在2005年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪Botnet的项目,对 收集到的恶意软件样本,采用了沙箱、蜜网这两种各有优势的技术对其进行分析,确认其是否为僵尸程序,并对僵尸程序所要连接的Botnet控制信道的信息进 行提取,最终获得了60,000 多个僵尸程序样本分析报告,并对其中500多个仍然活跃的Botnet进行跟踪,统计出所属国分布、规模分布等信息。
国家应急响应中心通过863-917网络安全监测平台,2007年上半年CNCERT/CC 监测到感染僵尸网络的主机总数达520 多万。僵尸网络发展迅速,逐渐成为攻击行为的基本渠道,成为网络安全的最大隐患之一。攻击者既可以利用僵尸网络发起DDoS 攻击、发送大量垃圾邮件和传播恶意代码等,又可以通过僵尸系统收集受感染主机中用户的敏感信息或进一步组建成更大的僵尸网络。目前,僵尸网络中僵尸主机的 数量一般在1千以内,但是也存在规模巨大的僵尸网络。僵尸网络的规模总体上趋于小型化、局部化和专业化。1千以内规模的僵尸网络居多。2007年上半年监 测到僵尸网络各种规模数量如图所示。
 |
可以看出从国内到国外,自2004年以来对Botnet的研究越来越多地受到网络安全研究人员的重视,研究工作已经大大加强。但是我国国内网上的 Botnet的威胁比较严重,需要引起网络用户的高度重视,需要更多的人来了解僵尸网络的危害,进一步发现、跟踪、反制僵尸网络。
另外,除了技术研究工作的开展外,还需要在法律上进一步完善对计算机恶意程序的法律治理难题。
本文出自 “叶子” 博客,转载请与作者联系!