互联网安全分析：Botnet，北京，中国，美国

互联网安全分析：Botnet ，北京，中国，美国

一 前言- 触目惊心的一组数据

刚刚看了Symantec 赛门铁克公司三月份最新发布的互联网安全报告。有这么一组数据令人震惊。[1]

• 北京市是全球感染Bot 计算机数目最多的城市，占总感染量的5%
• 中国是全球感染Bot 计算机数目最多的国家或地区，占总感染量的26%
• 美国是全球拥有Botnet 控制中心最多的国家或地区，占40%。

这组数据的背后的含义是什么？要回答这一点，我们先看看什么是Bot ？什么是Botnet？

二 Bot/Botnet

目前对Botnet 没有特别权威的翻译。有许多翻译为“僵尸网络”，实际上并不完全准确。“僵尸网络”实际上是“zombie network”的翻译，它是比喻恶意Botnet的表现形式。还有的翻译为“波特网”或“机器人网络”。在本文中，为了避免混淆，将直接使用Bot和Botnet。

Bot ，这个词是从“Robot”这个词变化来的，用来指在互联网上，可以自动执行特定任务的软件程序。[2] 这些特定的任务可以是在网络上查询特定信息，报告天气,参加网络竞拍等等。

但是，对于一个恶意的Bot 来说，执行的任务就会变成：

• 散布病毒，间谍软件或广告软件
• 发送垃圾邮件
• 网络访问代理
• 执行DDOS攻击
• 窃取敏感信息，如银行密码
• 自动拨号
• 等等

本文以下的Bot 均指的是恶意的Bot。

Botnet ，顾名思义，就是由若干Bot（感染Bot的计算机）构成的网络。在网络中，存在一个控制中心（Command and control center）。每台感染Bot的计算机一般通过Internet Relay Chat（IRC）方式与控制中心建立连接，接受来自控制中心的指令。这样，攻击者就可以通过控制中心，集中管理Botnet内的所有机器。也就是说，一台感染Bot的计算机，它的一举一动都可以被远程监控和控制，如同僵尸（zombie）一般。这就是Zombie Network这个词的来历。

推动Botnet 发展的因素之一就是实在的经济利益，钱。一个Botnet的控制者，可以和广告软件的发布者合作，以增加相应站点的点击率；可以和垃圾邮件的发布者合作，一次发布成千上万封的垃圾邮件；或者是DDOS攻击，如网络勒索。就像强收保护费一样。如果一个中小型网站不付钱的话，就让Botnet控制的所有机器都恶意访问这个网站，以打乱其正常的商务活动。

Bot攻击实例分析

我们来看看一个典型的Bot 是如何攻击普通用户的。Rbot是目前最为流行的Bot攻击程序之一。它是如何运作的?

第一步：远程攻击存在安全漏洞的机器

常见被Rbot 利用的安全漏洞有：

• DCOM RPC 安全漏洞(Microsoft安全通告MS03-026)
• UPnP安全漏洞(Microsoft安全通告MS01-059)
• LSASS安全漏洞(Microsoft安全通告MS04-011)

等等

另外一种常见的攻击方式是通过社会工程，例如作为一个电子邮件的附件发送给用户，或者通过IM 让用户下载。

第二步，加入Botnet

一旦Rbot 开始运行，它就会有以下几个动作：

• 将自身加入到系统自动运行的程序中。例如，在
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，创建相应的注册表信息，这样每次系统启动，它都会自动被执行。
• 关闭某些特定程序，如防火墙，系统自动更新。
• 连接IRC 服务器，即Botnet的控制中心。
• 扫描其他机器，以测试是否可以被成功攻击。

第三步，接受来自Botnet控制中心的指令

一个Rbot 可以接受的控制指令。

• 更新Rbot 版本
• 窃取密码
• 访问特定http 站点
• 屏幕截图
• 报告系统信息
• 开启shell
• 执行特定程序
• 等等

三 数据背后的含义

回顾一下Symantec报告中的数据。

北京市是全球感染Bot 计算机数目最多的城市，占据总感染量的5%。中国是全球感染Bot计算机数目最多的国家或地区，占据总感染量的26%。

作为对比，美国是全球感染Bot 计算机数目的第二位，占据总感染量的14%。

根据报告，Symantec 全球检测到6049594 台感染Bot的计算机。那么，北京就有三十万左右，中国就有一百五十万台左右感染Bot的计算机。

另一方面，我们知道，感染了Bot 的计算机是被其加入的Botnet的控制中心完全控制的。美国是全球拥有Botnet控制中心最多的国家或地区，占40%。作为对比，中国的控制中心比例是5%，列第四位。

这就意味着在国内大部分被感染了Bot 的计算机是被国外的控制中心所控制。这里需要指明的一点是，一个Botnet的控制中心设在美国，并不意味着Botnet的控制者本身就在美国。一个来自东欧的攻击者完全可以通过一个在美国的控制中心来控制一台在德国的机器。另一个角度来说，国内的普通用户，由于配套的安全措施和安全意识的不足，已经成为全世界有组织的计算机犯罪团体的目标。一个标志是源自国内的垃圾邮件的发送量不断增加，这与国内感染了Bot的计算机的数目增加不无关系。

随着越来越多的国内普通用户使用宽带连接，我们可以预测国内感染了Bot 的计算机的数目在近几年内还会不断增加。

四 总结

国内高速互联网的迅速发展，给越来越多的普通用户带来便利的同时，也同时带来了风险。相应的安全保护措施，普通用户的安全意识和教育的培训，都远远没有跟上。中国已经成为全球感染Bot 计算机数目最多的国家。

希望这篇文章可以敲响用户的安全警钟。

五参考文献

1, Symantec Internet Security Threat Report, Trends for July–December 06

http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xi_03_2007.en-us.pdf

2, Internet Bot, http://en.wikipedia.org/wiki/Internet_bot