僵尸网络的威胁和应对措施 国家计算机网络应急技术处理协调中心 周勇林 2005 年 3 月 25 日桂林
摘要 第一部分 背景和概念 功能原理 危害 第二部分 案例分析 措施
一背景 网络安全领域的三大威胁 : 蠕虫 (Worm) 分布式拒绝服务攻击 (DDos) 垃圾邮件 (Spam)
事例 BotNet 历史可追溯到 90 年代, 第一个 Unix 环境下的 Bot 是 1993 年的 Eggdrop Bot 自从 1999 年 11 月出现的 SubSeven 2.1 木马成功地运用 IRC 协议控制感染 SubSeven 木马的主机之后, 人们意识到采用 IRC 协议进行 Bot 的控制是一种高效安全的途径, 从此,IRC 协议和 Bot 经常携手出现 目前, 主要的 Bot 都运行在 Windows 系统下 但直到 2004 年初才引起重视 原因是利用 BotNet 发送 Spam 和进行 DDos 攻击的事件越来越多,Bot 的种类也迅速增加 让我们简单回顾几个利用 BotNet 的案例 : 2004 年 7 月来自英国路透社的报导指出, 有一个由青少年 2003 爆发的 Dvldr( 口令 ) 蠕虫, 是第一个大面积迅速传播 2004 2004 人组成的新兴行业正盛行并利用, 10 IRC 美国最大的家庭宽带月网络安全机构 : 出租可由远程恶意程序任意 SANS BotNet 控制已感染机器的蠕虫 ISP 表示 Comcast, 僵尸计算机已被被发现成为互黑客当作用来勒索的工具联网上最大的垃圾邮件来源摆布的计算机 年出现的年 11 9 月挪威月, Korgo 根据反网钓工作小组 ISP, 系列 这些受控制的计算机称之为 Telenor, GaoBot,Comcast 若要避免服务器因察觉某系列 (APWG) IRC 服务器已成为 SdBot 的用户平均每天发 DoS 的安全专系列蠕虫 僵尸 1 万 家观察而瘫痪的代价是付给黑客多台个人计算机组成的趋势科技送的 (Zombie) BotNet, 网络钓鱼 TrendLabs 8 亿封邮件中计算机 数目小自可接受控制者指令 (Phishing) 在 BoeNet 2004 年的指挥中心后 9, 有 488% 万美金 的技术愈来愈高明是使用存在于 10, 月病毒感染分析报告部大到实施许多网络攻击行 Comcast 3 万部, 关闭了该, 内的只要买现在 中动 骗徒可运用受控僵尸系统 IRC 指出 BotNet 主愿意付钱服务器, 个人计算机成为任人摆布的僵尸计算机的机率发送的垃圾邮件, 它们可以利用这些僵尸网络 (BotNet) 来扩大网钓范围 (BotNet), 进行, 相 3 坐等受害者上钩 较于去年垃圾邮件散播 网络诈欺月爆发的 9 月成长 Witty 蠕虫 23.5,Caida 倍 (phishing) 怀疑该蠕虫利用 散播病毒甚至拒绝 BotNet 散发服务攻击, 因为其初始感染计算机数目超过, 代价仅需每小时 100 美元 100 台
二基本概念 Bot: Robot ( 机器人 ) 的简写, 可以自动地执行预定义的功能 可以被预定义的命令控制, 具有一定人工智能的程序 Bot 不一定是恶意代码, 只有实现了恶意功能的 Bot 才属于恶意代码 Zombie: 含有 Bot 或其他可以远程控制程序的计算机叫 Zombie( 僵尸计算机 ) BotNet 僵尸网络 :Bot 组成的可通信 可被攻击者控制的网络
Bot Trojan horse Spyware Worm Virus 的 联系与区别 传播性可控性窃密性危害级别 Bot 不具备高度可控有全部控制 : 高 Trojan horse 不具备可控有全部控制 : 高 Spyware 一般没有一般没有有信息泄露 : 中 Worm Virus 主动转播一般没有一般没有网络流量 : 高 用户干预一般没有一般没有感染文件 : 中
Bot 类型 IRC Bot: 利用 IRC 协议进行通信和控制的 Bot 主动连接 IRC 聊天服务器上, 接收控制命令 AOL Bot: 与 IRC Bot 类似, 登陆到固定的 AOL 服务接收控制命令 AIM-Canbot 和 Fizzer 蠕虫就采用了 AOL Instant Messager 实现对 Bot 的控制 P2P Bot: 这类 Bot 采用 peer to peer 的方式相互通信, 优点是不存在单点失效, 缺点是实现相对复杂 ( 如 phatbot) 其他 : 游戏 Bot 售票 Bot 聊天 Bot IRC 管理 Bot 搜索引擎 Bot 等良性 Bot
三 IRC Bot 的原理 1 IRC(Internet Relay Chat) 协议 IRC 是一种专门的网络聊天室应用层协议 ; 客户端 服务器模式 多服务器之间可建立信息共享 IRC 服务默认的端口是 TCP 6667, 通常也可以在 6000-7000 端口范围之内选择,( 许多 IRC Bot 为了逃避常规的检查, 选择 443 8000 500 等自定义端口 ) 用户可以建立 选择和加入感兴趣的频道 频道可以隐藏 支持文件传递
2 IRC Bot 的功能 IRC Bot 的原理 Bot 可以根据接收到的控制命令执行预定义的功能, 这些功能一般括 : 1) 发动 Dos 攻击 2) 浏览系统信息 3) 终止进程 4) 攻击 IRC 频道或邮箱 5) 上传和下载程序 6) 代理或 SMTP 服务器 7) 升级 Bot 8) 卸载 Bot
IRC Bot 的原理 3 IRC Bot 的实现 : 其特点是模拟 IRC 客户端, 使用 IRC 协议与 IRC 服务器通信 现在的 IRC Bot 通常自己实现客户端协议, 一般至少需要实现以下 IRC 命令 : NICK 和 USER: 用于标志一个用户和用户所属主机, 相当于一个 ID; PASS: 设置或发送口令 ; JOIN #Channel: 加入一个频道 ; MODE: 修改频道模式 ; PING 和 PONG: 维持与 IRC 服务器的连接, 当用户空闲时, 服务器向客户 端发送 PING 命令, 客户端回应 PONG 命令, 参数与 PING 的参数相同, 表示客户端处于存活状态 ; PRIVMSG: 向一个频道或用户发送消息 ; DCC SEND: 一个用户向另一个用户传送文件, 等等
IRC Bot 的原理 4 Bot 的传播方式
四 Botnet 的结构和自身安全性 1 BotNet 的网络结构
Botnet 的结构和自身安全性 2 Botnet 的生成和利用方式 以下过程展示了攻击者生成和利用 Botnet 的典型方式 : (1) 开发一个 Bot 或者修改 定制一个开源的 Bot; (2) 利用蠕虫在感染的主机上释放并运行这个 Bot; (3)Bot 进程运行后, 以一个随机的 Nickname 和内置的密码加入预定义的频道, 攻击者不定时地也登陆到这个频道 ; (4) 攻击者发送自身的认证信息,Bot 认证后就等待执行该用户 ( 攻击者 ) 发送的命令 ; (5)Bot 读取发送到频道中的所有字符串, 判断是否是认证的攻击者发送的可识别的命令, 是则执行
Botnet 的结构和自身安全性 3 Botnet 自身安全性 动态 IRC 服务器 秘密频道加用户认证 控制者身份的单向认证 跳板的利用 IRC 服务器 频道 口令的更新
五 僵尸网络 (Botnet) 的主要危害性 1 隐蔽性很强; 2 危害性巨大; 3 难以追查和清除 黑客通过特定的数台控制主机 除利用受控计算机群进行攻击外, 可以遥控网络中成千上万的主, 黑客还利用控制的计算机机从事各种攻击活动群, 受控计算机用户绝大多数都不知道自己的计算机感染进行跨网甚至跨国境的各种非法活动, 可为其他形式的攻击提供强大支持 这, 来隐藏自己的活包括动踪迹 : 了木马而被控制大规模的拒绝服务, 以躲避网络管理部门的技术调查和执法部门的查处, 从而毫无防范 另外, 短时间内使重要信息系统服务瘫痪, 黑客在达到是随时有可能发生打击特定目的情况下才会向所控制的机群发送命令, 比如隐藏蠕虫释放者和假冒 ; 发送大量垃圾邮件 ( 欺诈, 传播各种有害信息 ) 网页的踪迹 这给, 黑客 ; 散播蠕虫和含恶意代码的程序对于释放蠕虫追查安全事件背后的黑客带来很大困难 僵尸网络往往数目通常也会采取一些技术和技巧来隐蔽自己的控制通道, 提高蠕虫和恶意代码的扩散和传播速度众多以及只有自己才能控制这个受控机群 平时大多时, 如果无法架设新的控制服务器控制整个僵尸网络 ; 进行网页欺诈等等 此外, 由于木马, 那感染目标平台是么, 候众多感染主机的清除起来是个长期过程, 可以让这些受控机器处于正常状态 Windows 95/ 98/ME 以及 Windows, 从而也难以 NT/2000/ XP 平台发现这些受控计算机的存在主要是个人用户, 黑客还可以使感染木马而被控制的主, 可以长期潜伏 机完全开放, 重要资料泄露的隐患的危险性达到最高 这就仿佛在互联网上埋伏了可操控的军队
分布式拒绝服务 (DDOS) 控制者 控制节点... 僵尸网络... ICMP Flood / SYN Flood / UDP Flood 目标
六 应对方法 (1) 终端用户 : 通过各种途径影响终端用户, 提高网络用户的安全意识 提高防范意识 ; 专杀工具 / 及时更新杀毒软件, 经常查杀病毒 ; 发现有异常, 将代码提供给有关方面分析 (2) 安全专业人员 : 提高对僵尸网络的重视, 加强研究, 拿出更有针对性的技术措施 如何判断 DDoS 和僵尸网络的关系 ; 如何捣毁僵尸网络
案例介绍 :DDOS 僵尸网络 过程 ( 一 ): 发现 1) 接到用户报警 : 大量的持续的拒绝服务攻击, 带宽被严重占用 网络讹诈? 2) 按照 DDOS 的处理流程, 找到一台攻击主机, 发现木马程序 BotNet?
事件处理过程 ( 二 ) ( 二 ) 代码分析 :BKDR_VB.CQ 木马 扫描功能 ; 上传 \ 下载文件功能 ; 服务端版本升级 ; 获得服务端操作系统版本及语言, 处理器型号信息,url 信息 ; HTTP; SMTP;
事件处理过程 ( 二 ) ( 二 ) 代码分析 IRC 控制服务器使用动态域名 anthony.ipv6.usr.aswind.com peter.freehost.aswind.net carlyle.dns2go.aswind.net khond.vip.vhost.ourmidi.com lamen.vhost.ourmidi.com massuse.ipv6.free.ourmidi.net bruce.free.ourmidi.net john.usr.aswind.com
事件处理过程 ( 二 ) 动态域名解析后得到 IP 地址及相应源端口 216.152.*.* 6667 美国 212.204.*.* 6667 荷兰 64.12.*.* 6667 美国 207.68.*.* 6667 美国 61.197.*. * 8000 日本 218.157. *. * 443 韩国 221.146. *. * 554 韩国 219.153. *. * 8000 重庆市 攻击源 (202.108.*.*) 会接收来自这八个 IP 地址发出的攻击指令进行攻击
事件处理过程 ( 三 ) ( 四 ) 重庆控制节点采集数据 在主机所有者的配合下, 对 BotNet 和黑客的动作进行监视 截止到 12 曰 10 日受到该肇事者控制的攻击机大约有 60000 多台 ; 受到重庆控制机控制的攻击机有 8000 多台, 当时处于活动状态的有 3712 台 定位黑客 :IP 地址为 -60.2.*.*, 河北某 ADSL 用户
事件处理过程 ( 四 ) ( 五 ) 网络监测抽样监测及监测数据分析 1 共计发现 171641 个 IP 地址被植入 BKDR_VB.CQ 木马, 其中大陆境内 156120 台
事件处理过程 ( 四 ) 2 境外, 共计 15521 台 (2004 年 12 月 13 日至 2005 年 1 月 10 日 )
事件处理过程 ( 五 ) 向政府部门报告 信息产业部 国家信息化工作小组办公室安全组 公安部 CNCERT/CC 配合公安机关迅速行动
事件处理过程 ( 六 ) ( 六 ) 帮助终端用户清除 BotNet 木马程序 1 在 CNCERT 网站上免费提供了我们组织研制的查杀有关木马的工具 http://www.cert.org.cn/articles/tools/co mmon/2004123022037.shtml 2 发挥反病毒和个人防火墙厂商的作用, 升级产品
3 总体活动趋势 事件处理过程 ( 六 )
1 事后回顾 :Botnet 的形成 通过编写 kuang2 木马客户端程序 (k2.exe) 控制互联网上大量被植入 kuang2 木马的主机, 并将 msapp.exe 投放到这些主机中. 2002 年, 掌握一万多台受控主机 2 将 msapp.exe 升级为 rasinf.exe, rasinf.exe 中内置四个控制指令 ( 进行 IPC 漏洞扫描和 Kuang2 木马扫描 ) 用于控制 僵尸网络 自动传播木马程序 到 2004 年 10 月份, 掌握超过五万台受控主机 3 升级 rasinf.exe, 并最终形成 ipxsrv.exe 木马程序 ipxsrv.exe 木马程序的主要传播方式是利用了社会工程学的方法, 通过 QQ 尾巴病毒诱使用户访问某个恶意页面, 当存在 IE 漏洞的用户访问该恶意页面时会被自动植入 ipxsrv.exe, 掌握超过三万台受控主机
CNCERT/CC 如何应对? 1 加强国家已投资建设的有关技术平台对 BotNet 的发现和监测能力 2 关注互联网上出现的大规模入侵 木马活动 以及其他危害严重的攻击行为的研究分析和监测力度, 以便发现与某些 BotNet 相关的攻击行为 3 在网站上加强对 BotNet 危害的宣传力度, 为公众提供有关流行 Bot 的信息和解决方案 4 搜集互联网上流行的 Bot 类恶意代码样本, 联合其他应急组织 安全厂商, 加大研究分析力度, 发布安全工具 5 积极配合各有关部门, 打击制作传播利用 Bot 的犯罪分子
保护网络的和谐发展! www.cert.org.cn zyl@cert.org.cn