僵尸網(wǎng)絡(luò)的檢測與對策

1、僵尸網(wǎng)絡(luò)的檢測與對策院系：軟件學(xué)院專業(yè)：網(wǎng)絡(luò)工程0901郭鵬飛學(xué)號：200992389關(guān)于僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)(botnet)是指通過各種傳播手段，在大量計(jì)算機(jī)中植入特定的惡意程序， 將大量主機(jī)感染僵尸程序病毒，使控制者能夠通過相對集中的若干計(jì)算機(jī)直接向大量計(jì) 算機(jī)發(fā)送指令的攻擊網(wǎng)絡(luò)。攻擊者通常利用這樣大規(guī)模的僵尸網(wǎng)絡(luò)實(shí)施各種其他攻擊活 動。起名為僵尸，很形象地揭示了這類危害的特點(diǎn)：眾多的計(jì)算機(jī)在不知不覺中如同僵 尸一般驅(qū)趕和指揮著，成為被人利用的一種工具。僵尸網(wǎng)絡(luò)中涉及到的概念：bot程序：rebot的縮寫，指實(shí)現(xiàn)惡意控制功能的程序。僵尸計(jì)算機(jī)：指被植入bot的計(jì)算機(jī)。控制服務(wù)器(Control

2、 Server):指控制和通信的中心服務(wù)器，在基于 IRC協(xié)議進(jìn)行控制的僵尸網(wǎng)絡(luò)中，就是指提供IRC聊天服務(wù)的服務(wù)器。DDoS攻擊：利用服務(wù)請求來耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻 擊網(wǎng)絡(luò)無法處理合法用戶的請求。僵尸網(wǎng)絡(luò)特點(diǎn)：首先，是一個可控制的網(wǎng)絡(luò)，這個網(wǎng)絡(luò)并不是具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有 一定的分布性，新的計(jì)算機(jī)會隨著 bot程序的傳播，不斷被加入到這個網(wǎng)絡(luò) 中。其次，這個網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，例如主動漏洞攻擊， 郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進(jìn)行僵尸網(wǎng)絡(luò)的傳播。 最后，僵尸網(wǎng)絡(luò)的最主要的特點(diǎn)，就是可以一對多地執(zhí)行相同的惡意行為， 比如可以同時對某目標(biāo)網(wǎng)站

3、進(jìn)行 DDos攻擊，同時發(fā)送大量的垃圾郵件等， 這一特點(diǎn)使得攻擊者能夠以較低的代價高效地控制大量的資源為其服務(wù)。 Bot程序的傳播途徑:主動攻擊漏洞。郵件病毒。即時通信軟件。惡意網(wǎng)站腳本。特洛依木馬。僵尸網(wǎng)絡(luò)的工作過程包括傳播、加入和控制三個階段。在傳播階段之后， 將進(jìn)入加入階段。在加入階段，每一個被感染主機(jī)都會隨著隱藏在自身上的 bot程序的發(fā)作而加入到僵尸網(wǎng)絡(luò)中去。在 IRC協(xié)議的僵尸網(wǎng)絡(luò)中，感染bot 程序的主機(jī)會登錄到指定的服務(wù)器和頻道中，登錄后，該主機(jī)會在在頻道中 等待控制者發(fā)來的指令。在控制階段，攻擊者通過中心服務(wù)器發(fā)送預(yù)先定義 好的控制指令，讓被感染主機(jī)執(zhí)行惡意行為，如發(fā)起DDo

4、s攻擊、竊取主機(jī)敏感信息、更新升級惡意程序等。僵尸網(wǎng)絡(luò)的控制方式包括：IRC僵尸網(wǎng)絡(luò)、AOL僵尸網(wǎng)絡(luò)、P2P僵尸網(wǎng) 絡(luò)等。而bot程序可分為以下幾類：Agobot/Phatbot/Forbot/XtremBot 、 SDBot/RBot/UrBot/SpyBot、GT-Bots 等。僵尸網(wǎng)絡(luò)的檢測僵尸網(wǎng)絡(luò)的檢測從檢測原理上來說，大致可以分為三類方法：行為特征統(tǒng)計(jì)分析bot行為仿真以監(jiān)控流量數(shù)據(jù)特征匹配行為特征統(tǒng)計(jì)分析：僵尸網(wǎng)絡(luò)是一種惡意行為，擁有僵尸網(wǎng)絡(luò)的人會有意隱藏服務(wù)器的基本信息， 如連入的用戶數(shù)、可見的用戶數(shù)、服務(wù)器內(nèi)所建立的頻道等。由于加入到僵尸網(wǎng)絡(luò)的服務(wù)器中的nickname是由bo

5、t程序生成，所以這些bot 的nickname應(yīng)符合一定的生成算法，符合某種規(guī)律，這些規(guī)律可以從得到的bot 源碼中發(fā)現(xiàn)并總結(jié)出來。這些用戶的nickname的規(guī)律性和正常的IRC Server中的 nickname的隨意性不同。由于僵尸網(wǎng)絡(luò)中的感染bot程序的主機(jī)是被動控制的，所 以在沒有僵尸網(wǎng)絡(luò)控制者指令的條件下是不會有所行為的。僵尸網(wǎng)絡(luò)在傳播和準(zhǔn)備發(fā)起攻擊之前，都會有一些異常的行為，如發(fā)送大量的 DNS查詢、發(fā)送大量的連接請求等等。綜上所述，可供統(tǒng)計(jì)的一些異常行為包括：IRC服務(wù)器隱藏信息、長時間發(fā)呆、 昵稱的規(guī)律性、掃描、頻繁發(fā)送大量數(shù)據(jù)包、大量陌生的DNS查詢、發(fā)送攻擊流 量、發(fā)送垃

6、圾郵件、同時打開大量端口、傳輸層流特征、包大小、特定的端口號。 bot行為仿真及監(jiān)控：利用主動式和被動式蜜罐系統(tǒng)獲取Bot程序樣本，監(jiān)控Bot主機(jī)的傳播方式和 通訊方式，從而得到僵尸網(wǎng)絡(luò)的行為特征，包括感染行為：駐留系統(tǒng)的模式、安裝 文件、修改文件、修改注冊表、對系統(tǒng)進(jìn)程和函數(shù)的調(diào)用、鍵盤操作記錄、對系統(tǒng) 服務(wù)和網(wǎng)絡(luò)服務(wù)的控制。傳播行為包括：掃描、漏洞的利用。通信行為包括：IP 地址、端口號、協(xié)議特征、命令。對代碼特征的分析包括：加殼與脫殼、Shellcode、 特征指令序列、文件片段。對日志的關(guān)聯(lián)分析：系統(tǒng)日志、IPS攻擊日志、流量信 息記錄。常用的分析方法包括：沙箱法（一種按照安全策略限制

7、程序行為的執(zhí)行環(huán) 境）和蜜網(wǎng)在線信息收集法（常見的系統(tǒng)監(jiān)控程序包括SEBEK、入侵檢測系統(tǒng)） 流量數(shù)據(jù)特征匹配：采用流量數(shù)據(jù)特征匹配方法，必須充分了解僵尸程序，提取指紋信息作為IDS 檢測的特征。傳統(tǒng)的IDS系統(tǒng)都是關(guān)注入流量，并查找點(diǎn)對點(diǎn)的入侵企圖的惡意 特征。NIDS系統(tǒng)具有檢測初始的方向入侵企圖。但是從這些海量的入侵告警記錄 中找到被感染的主機(jī)是非常困難。為了解決這個問題，入侵告警關(guān)聯(lián)可以使分析人 員獲得對告警事件流的更概括的解釋。這里著重介紹下BotHunter軟件，BotHunter管理器是一個基于IDS驅(qū)動的會 話管理技術(shù)的具體實(shí)現(xiàn)。它是由Snort驅(qū)動的，它利用了 Snort s

8、特征引擎的全部 優(yōu)勢，合并了一個惡意軟件特征的大的集合，可以產(chǎn)生由探索漏洞活動所引起的對 話告警，代碼下載、以及C&C的服務(wù)模式。BotHunter管理器還包括了兩個Bot 特征異常檢測插件：SLADE和SCADEo SLADE對某種協(xié)議的字節(jié)分布差異進(jìn)行 分析，這種差異代表通常的入侵行為。SCADE對流入和流出流量執(zhí)行并行且互補(bǔ) 的端口掃描分析。BotHunter關(guān)聯(lián)器將入方向的掃描和入侵告警與出方向嫌疑比較大的已感染 主機(jī)的通訊模式關(guān)聯(lián)。如果發(fā)現(xiàn)有足夠多的告警序列與BotHunter模型匹配，則生 成一個完整報告，涵蓋所有相關(guān)的事件和參與會話的感染主機(jī)。BotHunter有4種工作模式：L

9、IVEPIPE，默認(rèn)模式：直接輸入 BotHunter configureshutdownstatus會進(jìn) 入這個模式的文件夾執(zhí)行。LIVEFILE，實(shí)時文件模式：Snort先將log存入實(shí)時文件，BotHunter再對 該log文件進(jìn)行處理。BATCH，批處理模式：離線處理已經(jīng)保存好的snort日志文件，可以批處 理。4.INLINE，在線模式：直接讀網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測，結(jié)果會存到bhProfiles.txt 中。防治僵尸網(wǎng)絡(luò)的對策采用Web過濾服務(wù)Web過濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器。這些過濾服務(wù)掃描Web站點(diǎn)的不正常 行為，或者掃描已知的惡意活動，并且阻止這些站點(diǎn)與用戶接觸。Webse

10、nse及 Cyveillance等公司的工具都可以實(shí)時地監(jiān)視互聯(lián)網(wǎng)，并查找從事惡意或可疑活動的站 點(diǎn)，如下載JavaScript或執(zhí)行screen scrapes等正常Web瀏覽之外的其它可疑操作。轉(zhuǎn)換瀏覽器防止僵尸網(wǎng)絡(luò)感染的另一種策略是采用微軟的Internet Explorer或Mozilla的 Firefox之外的瀏覽器。這兩者是最流行的瀏覽器，但正因?yàn)槿绱?，惡意軟件作者們?常也樂意為它們編寫代碼。同樣的策略也適用于操作系統(tǒng)，據(jù)統(tǒng)計(jì)，蘋果操作系統(tǒng)、桌 面Linux操作系統(tǒng)用戶很少受到僵尸網(wǎng)絡(luò)的侵?jǐn)_，這是因?yàn)榇蠖鄶?shù)僵尸程序的作者都把 目標(biāo)指向了流行的Windows操作系統(tǒng)。禁用腳本一個極

11、端的措施是完全地禁用瀏覽器的腳本功能，但需要注意的是，有時候這會不 利于工作效率，特別是在使用了定制的、基于Web的應(yīng)用程序時更是如此。部署入侵檢測和入侵防御系統(tǒng)應(yīng)調(diào)整IDS（入侵檢測系統(tǒng)）和IPS（入侵防御系統(tǒng)），使之可以檢測具有僵尸主機(jī)特 征的活動。例如，重復(fù)性的與外部的IP地址連接或非法的DNS地址連接都是相當(dāng)可疑 的。此外還有一些典型特征，如一個機(jī)器中SSL通信的突然上升，特別是在某些端口上 更是這樣，這就可能表明一個僵尸控制的通道已經(jīng)被激活了。限制用戶生成的內(nèi)容。Web開發(fā)人員應(yīng)避免無意成為惡意軟件犯罪的幫兇，在其網(wǎng)站程序中應(yīng)該嚴(yán)格控制 用戶生成的內(nèi)容，在不影響網(wǎng)站功能的前提下給與用

12、戶最小的權(quán)限。使用補(bǔ)救工具如果發(fā)現(xiàn)了一臺被感染的計(jì)算機(jī)，那么一個臨時應(yīng)急的重要措施就是如何進(jìn)行補(bǔ) 救。像Symantec等公司都宣稱，他們可以檢測并清除即使隱藏最深的rootkit感染。 其它的反病毒廠商也都試圖保護(hù)系統(tǒng)免受rootkit的危害，如McAfee和FSecure等。McAfeeLab的研究人員通過在McAfee入侵防護(hù)系統(tǒng)中加入各種新的安全技術(shù)，從而實(shí)現(xiàn)了對于僵尸網(wǎng)絡(luò)的全面網(wǎng)絡(luò)防護(hù)，卜圖給出了該系統(tǒng)防護(hù)Torpig的方式:巾cfpid EX* IrwMI 初：lim MtWw. ih：5 DLLTdrjMd C&CPtiihr-gHTM.InmDn/FifeJ Oatnuni.

13、Iftrw C&CIbrTwat Fitl：ydrfV3bVlctwn CllwwRrmctiMD4tcUon |對應(yīng)于Torpig僵尸網(wǎng)絡(luò)的感染途徑，該系統(tǒng)可以起到以下作用。步驟1：屬于正常的Web訪問，無需阻斷；步驟2：通過McAfee入侵防護(hù)系統(tǒng)的漏洞保護(hù)功能，阻斷Torpig通過iframe方 式修改用戶的瀏覽器；步驟3：仍屬于正常的Web訪問，無需阻斷；步驟4：通過McAfee入侵防護(hù)系統(tǒng)的Artemis云安全技術(shù)，檢測并阻斷服務(wù)器下發(fā)的Rootkit和惡件，避免該桌面機(jī)成為僵尸網(wǎng)絡(luò)客戶端；步驟5：屬于IRC通信，無需阻斷；步驟6：通過McAfee入侵防護(hù)系統(tǒng)的Artemis云安全技術(shù)，檢測并阻斷服務(wù)器下 發(fā)的TorpigDLL，避免瀏覽器注入等攻擊；步驟7：通過McAfee入侵防護(hù)系統(tǒng)的行為檢測技術(shù)，檢測并阻斷每20分鐘的上傳 竊取信息到TorpigC&C服務(wù)器上；步驟8：通過McAfee入侵防護(hù)系統(tǒng)的行為檢測技術(shù)，檢測并阻斷TorpigC&C服務(wù) 器下發(fā)的配置文件；步驟9：屬于正常的Web訪問，無需阻斷；步驟10：文件傳輸，無需阻斷。通過這一方式