殭屍網絡已經成爲國內乃至全世界的網絡安全領域最爲關注的危害之一。
一、引言
近年來隨着金錢的不段誘惑,和體內荷爾蒙的過多分泌,造成很多技術性天才做着一夜暴富的春秋大夢,越來越多的黑色產物不斷的誕生,從2003年國外某安全團隊第一時間發現sql注射漏洞之後,到2004年國內幾個天才高手開發出第一款NBSI國內第一款全自動後臺掃描注入工具的誕生,隨之而來的是更多的國內外網站被入侵,從國外的一份安全報告上來看,NBSI已經成爲了國外檢查相關站點進行滲透攻擊測試的最有力武器,國人的偉大的智商讓國外的黑客團隊都大爲欽佩,也算是洗刷了國外一直對我國黑客稱之爲腳本猴子的前恥,2006年的“熊貓燒香”,這個世界第一毒王的誕生,網絡上一直傳言着李俊靠這個代碼獲取了高達千萬的鉅額資金,在這裏我是成否定態度的,這樣的代碼就是在黑色交易下面也不過幾千塊人民幣而已,因爲從整個的病毒源代碼來看,李俊本人的編碼水平並不能算高明,更多的來看就是一些網絡上公佈的源代碼的摘抄,整個病毒就是一個代碼堆疊。但是也因爲國人缺乏安全意識而中招,成爲了一些專業刷流量賺取國外廣告費用的黑色產業鏈裏面另一黑色經濟組織的青睞。由於黑色經濟的影響,造就了全世界到處都是“硝煙瀰漫”,瘋狂的蠕蟲、討厭的垃圾郵件、陰險的網絡釣魚、可惡的間諜軟件,還有防不甚防的拒絕服務攻擊天天都出現在我們越來越賴以生存的互聯網中。大量的安全人士投入到與它們的鬥爭中,也提出了相當多的防範治理措施,研究工作日趨深入。但這些威脅並沒有得到有效的控制,反而在技術上安全工作者面臨了更多更大的挑戰,造成這種現象的一個重要原因,是危害製造者開始採用一些既能保護、隱藏自身,又能更加高效地實施這些攻擊的方法,殭屍網絡就是其中之一。
殭屍網絡(英文名稱:Botnet),有別於以往簡單的安全事件,它是一個具有極大危害的攻擊平臺。利用該平臺,攻擊者能夠發起各種各樣的破壞行爲,由於平臺的搭建使得這些破壞行爲產生聚合,造成比傳統破壞行爲更大的危害,並且使得攻擊的防範難度增大。殭屍網絡將攻擊源從一個轉化爲多個,乃至一個龐大的網絡體系,通過網絡來控制受感染的系統,同時不同地造成網絡危害,如更快地傳播蠕蟲、短時間內竊取大量敏感信息、搶佔系統資源進行非法目的牟利、發起大範圍的DDoS攻擊等,受控網絡的存在,給危害追蹤和損失抑制帶來巨大的麻煩,這也就是殭屍網絡迅速發展的原因。
目前,殭屍網絡已經成爲國內乃至全世界的網絡安全領域最爲關注的危害之一。
二、殭屍網絡的原理和危害
(一)基本概念:
Bot:機器人(Robot)的縮寫,是一段可以自動執行預先設定功能,可以被控制,具有一定人工智能的程序。通常帶有惡意代碼的Bot被祕密植入受控計算機,主動連接服務器接受控制指令,並依照指令完成相應功能。
Zombie:被包含惡意代碼的Bot感染或能被遠程控制的計算機,又名殭屍計算機。
IRCBot:利用IRC協議進行通信和控制的Bot。通常,IRCBot連接預定義的服務器,加入到預定義的頻道中,接收經過認證的控制者發出的命令,執行相應的操作。運用IRC協議實現Bot、服務器和控制者之間的通信和控制具有很多優勢,因此目前絕大多數的Bot都基於IRC協議。
Command & Control Server:IRCBot連接的IRC服務器稱爲命令和控制服務器,控制者通過該服務器發送命令,進行控制。
Botnet:殭屍網絡,由大量能夠實現惡意功能的Bot、Command &ControlServer和控制者組成,能夠受攻擊者控制的網絡。攻擊者在公開或祕密的IRC服務器上開闢私有的聊天頻道作爲控制頻道,殭屍程序中預先已經設定好這些信息,當殭屍計算機運行時,殭屍程序就自動搜索並連接到這些控制頻道,接收頻道中的所有信息,這樣就構成了一個IRC協議的殭屍網絡。攻擊者通過IRC服務器,向整個殭屍網絡內的受控節點發送控制命令,操縱這些“殭屍”進行破壞或者竊取行爲。通常頻道設置爲隱祕並加上密碼防止非Bot用戶進入,如圖-1所示。除了IRC殭屍網絡外,還存在一些其他的殭屍網絡,如:
AOLBot:登陸到特定的AOL服務器等待控制者發送指令。AIM-Canbot和Fizzer就採用這種方式。
殭屍程序
可以通過木馬、蠕蟲進行傳播。通常表現爲在蠕蟲體內包含Bot,當蠕蟲成功感染計算機時,就釋放出Bot;或者當木馬、蠕蟲成功侵入電腦後,從網上下載惡意Bot到本地主機。殭屍程序與蠕蟲最大的區別就在於蠕蟲具有主動傳播性,另外蠕蟲的攻擊行爲不受人控制,而相反殭屍程序的存在就是爲了使得攻擊者能夠控制受感染的電腦。
殭屍程序
和木馬有着功能的相似性——遠程控制計算機,但在功能實現上略有區別,殭屍程序都能突破內網和防火牆限制,這是傳統正向連接的木馬無法比擬的。殭屍程序使用特有的IRC協議下的DCC命令或者其他載體進行傳播,由於預設指令的存在,傳播過程更顯主動,且受感染的電腦仍受控制,這也比木馬高明些。
間諜軟件被用來竊取用戶敏感信息,而殭屍程序也能實現這一功能,還能下載間諜軟件到受影響主機。
類型 / 特點傳播性可控性竊密性危害性
殭屍程序
(Bot)可控傳播高度可控有完全控制遠程計算機
蠕蟲
(Worm)主動非受控傳播不可控無佔用主機和網絡資源
木馬
(Trojan Horse)干預傳播可控有完全控制遠程計算機
干預傳播不可控無破壞文件
間諜軟件(Spyware)負載傳播不可控嚴重竊密竊取信息
目前最常見的殭屍網絡都是基於IRC協議的,這個應用層協議給人們提供了一個IRC的服務器和聊天頻道進行相互的實時對話。IRC協議採用C/S模式,用戶可以通過客戶端連接到IRC服務器,並建立、選擇並加入感興趣的頻道,每個用戶都可以將消息發送給頻道內所有其他用戶,也可以單獨發給某個用戶。頻道的管理員可以設置頻道的屬性,比如設置密碼、設置頻道爲隱藏模式。
攻擊者通常編寫自己的IRCBot,它只支持部分IRC命令,並將收到的消息作爲命令進行解釋執行。編寫好殭屍程序,建立起自己的IRC服務器後,攻擊者會採用不同的方式將殭屍程序植入用戶計算機,例如:通過蠕蟲進行主動傳播、利用系統漏洞直接侵入計算機、利用社會工程學,通過電子郵件或者即時聊天工具,欺騙用戶下載並執行殭屍程序、利用IRC協議的DCC命令,直接通過IRC服務器進行傳播、還可以在網頁中嵌入惡意代碼等待用戶瀏覽,2004年CNCERT/CC發現了1700多個網頁利用此類技術欺騙誘惑用戶訪問而植入惡意程序。
當Bot在被感染計算機上運行後,以一個隨機的Nickname和內置密碼連接到特定的IRC服務器,並加入指定的頻道。攻擊者隨時登陸該頻道,併發送認證消息,認證通過後,隨即向活躍的殭屍程序(或者暫時非活躍的殭屍程序)發送控制指令。Bot讀取所有發送到頻道的消息或者是頻道的標題,如果是已通過認證的攻擊者的可識別的指令,則立即執行。
通常這些指令涉及更新Bot程序、傳輸或下載指定文件、遠程控制連接、發起拒絕服務攻擊、開啓代理服務器等等。
隨着Bot大範圍的快速傳播,攻擊者漸漸將原本不相關的計算機聯繫起來,通過預設的殭屍程序的指令,連接到指定的IRC服務器,接受攻擊者的控制,形成一個龐大的網絡體系,這就是殭屍網絡的初步形成。而後由這個平臺發起更多的、更加隱祕的擴展入侵行爲