《網(wǎng)絡(luò)竊密、監(jiān)聽和防泄密技術(shù)》第5章“協(xié)同自愈”的僵尸網(wǎng)絡(luò)

第5章“協(xié)同自愈”的僵尸網(wǎng)絡(luò)5.1惡意軟件5.2僵尸網(wǎng)絡(luò)5.3新型高可靠性Botnet的設(shè)計(jì)思路

5.1惡意軟件

5.1.1惡意軟件的概念和發(fā)展特點(diǎn)

惡意軟件(maliciouscode)，其范圍包括木馬、病毒、蠕蟲、惡意移動代碼、后門程序、Rookit、鍵盤記錄器、網(wǎng)絡(luò)瀏覽器插件、間諜軟件與廣告程序等。它通過把代碼在不被察覺的情況下嵌入另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。惡意程序創(chuàng)作者有一套不斷擴(kuò)充且技術(shù)先進(jìn)的工具組合可供任意運(yùn)用，其中包含了傀儡程序與傀儡網(wǎng)絡(luò)、Rootkit、社交工程技巧等。他們在受到金錢利益驅(qū)使的情況更甚于以往，創(chuàng)造出許多專門生產(chǎn)惡意程序、犯罪程序與間諜程序/廣告程序的地下經(jīng)濟(jì)體。他們不再制作以刪除文件及破壞大量計(jì)算機(jī)為目的的惡意程序，改以潛藏于計(jì)算機(jī)中，等候傀儡程序主控者下達(dá)命令采取各種行動，或在適當(dāng)時機(jī)竊取個人信息的惡意程序取而代之。其中，木馬開發(fā)周期短，可以最少的成本獲取最大的收益。而傳統(tǒng)的病毒和蠕蟲技術(shù)門檻高，開發(fā)周期長，變種更新困難，復(fù)用性不強(qiáng)，已經(jīng)不適應(yīng)當(dāng)前惡意軟件的發(fā)展形式。研究證明，木馬現(xiàn)已占據(jù)了一半以上的惡意軟件數(shù)量并不斷增加，已取代感染式病毒和蠕蟲成為當(dāng)今惡意軟件的主流。間諜軟件泛指一種執(zhí)行特定行為，如播放廣告、搜集個人信息或更改員工計(jì)算機(jī)配置的軟件，這些行為通常未經(jīng)員工同意。嚴(yán)格說來，間諜軟件是一種協(xié)助搜集(追蹤、記錄與回傳)個人或組織信息的程序，通常是在不提示的情況下進(jìn)行。廣告軟件和間諜軟件很像，它是一種在用戶上網(wǎng)時透過彈出式窗口展示廣告的程序。這兩種軟件手法非常相似，因而通常統(tǒng)稱為間諜軟件。而有些間諜軟件就隱藏在廣告軟件中，透過彈出式廣告窗口入侵到計(jì)算機(jī)中，使得兩者更難以清楚劃分。如果在用戶計(jì)算機(jī)中發(fā)現(xiàn)了以下情況，那么多半是惡意軟件所致：

(1)內(nèi)部服務(wù)器崩潰；

(2)上網(wǎng)速度慢、系統(tǒng)資源消耗加劇、磁盤訪問速度慢；

(3)殺毒軟件檢測到蠕蟲；

(4)出現(xiàn)異常特征的文件名；

(5)計(jì)算機(jī)無故重啟；

(6)大量發(fā)出郵件；

(7)殺毒軟件等安全措施被禁止；

(8)異常內(nèi)外流量。近幾年來，惡意軟件以快速謀取金錢利益為目標(biāo)，發(fā)展極為迅速，呈現(xiàn)出以下特點(diǎn)：

(1)惡意軟件制造進(jìn)入“機(jī)械化”時代。

由于各種惡意軟件制作工具的泛濫和惡意軟件制作的分工更加明細(xì)和程式化，惡意軟件作者開始按照既定的流程制作惡意軟件。惡意軟件制造進(jìn)入了“機(jī)械化”時代。這種“機(jī)械化”很大程度上得益于惡意軟件制作門檻的降低和各種制作工具的流行。例如“病毒制造機(jī)”是網(wǎng)上流行的一種制造惡意軟件的工具，軟件作者不需要任何專業(yè)技術(shù)就可以手工制造生成惡意軟件。惡意軟件作者可根據(jù)自己的需求，在相應(yīng)的制作工具中定制和勾選惡意軟件功能。惡意軟件的機(jī)械化生產(chǎn)導(dǎo)致其數(shù)量的爆炸式增長。反惡意軟件廠商傳統(tǒng)的人工收集以及鑒定方法已經(jīng)無法應(yīng)對迅猛增長的惡意軟件。

(2)惡意軟件制造的模塊化、專業(yè)化特征明顯。

惡意軟件團(tuán)伙按功能模塊采用軟件外包或通過采購技術(shù)先進(jìn)的惡意軟件功能模塊來集成，這樣使得惡意軟件的各方面功能都越來越專業(yè)，惡意軟件技術(shù)得以持續(xù)提高和發(fā)展，對網(wǎng)民的危害越來越大，而解決問題也越來越難。例如年底出現(xiàn)的“超級AV終結(jié)者”集病毒技術(shù)之大成，是模塊化生產(chǎn)的典型代表。

(3)惡意軟件與安全軟件的對抗日益激烈。

在惡意軟件產(chǎn)業(yè)鏈分工中，下載器扮演了“保鏢”的角色，它結(jié)束并破壞殺毒軟件，穿透還原軟件，保護(hù)盜號木馬順利下載到用戶機(jī)器上，并根據(jù)盜號木馬的下載量收取“保護(hù)費(fèi)”，參與惡意軟件產(chǎn)業(yè)鏈的分贓過程。從“AV終結(jié)者”等病毒的廣泛流行就不難看出，對抗殺毒軟件已經(jīng)成為下載器的必備功能?？v觀2008—2009年的一些流行病毒，如機(jī)器狗、磁碟機(jī)、AV終結(jié)者等等，無一例外均為對抗型惡意軟件。惡意軟件使用的方法也多種多樣，如修改系統(tǒng)時間、結(jié)束殺毒軟件進(jìn)程、破壞系統(tǒng)安全模式、禁用Windows自動升級等功能。5.1.2知名惡意軟件簡介

1．機(jī)器狗病毒

機(jī)器狗病毒因最初的版本采用電子狗的照片做圖標(biāo)而被網(wǎng)民命名為“機(jī)器狗”，該病毒變種繁多，多表現(xiàn)為殺毒軟件無法正常運(yùn)行。該病毒的主要危害是充當(dāng)病毒木馬下載器，與AV終結(jié)者病毒相似，病毒通過修改注冊表，讓大多數(shù)流行的安全軟件失效，然后瘋狂下載各種黑客工具。機(jī)器狗病毒直接操作磁盤以繞過系統(tǒng)文件完整性的檢驗(yàn)，通過感染系統(tǒng)文件實(shí)現(xiàn)隱蔽啟動；通過底層技術(shù)穿透冰點(diǎn)、影子等還原系統(tǒng)軟件，導(dǎo)致大量網(wǎng)吧用戶感染病毒，無法通過還原來保證系統(tǒng)的安全；通過修復(fù)SSDT(即恢復(fù)安全軟件對系統(tǒng)關(guān)鍵API的HOOK)、映像劫持、進(jìn)程操作等方法使得大量的安全軟件失去作用；聯(lián)網(wǎng)下載大量的盜號木馬給廣大網(wǎng)民的網(wǎng)絡(luò)虛擬財(cái)產(chǎn)造成巨大威脅，部分機(jī)器狗變種還會下載ARP惡意攻擊程序?qū)λ诰钟蚓W(wǎng)(或者服務(wù)器)進(jìn)行ARP欺騙以影響網(wǎng)絡(luò)安全。

2．磁碟機(jī)病毒

這是一個強(qiáng)悍的“下載器”類型的病毒。它能關(guān)閉并屏蔽那些自身防御能力較弱的安全工具和殺毒軟件；對于具有較強(qiáng)自防御能力的安全工具，它會向其發(fā)送巨量的窗口信息，就像DOS(拒絕服務(wù)攻擊)一樣，使其始終處于極度繁忙和資源耗盡狀態(tài)，系統(tǒng)安全消息得不到處理；它會破壞安全模式，刪除一些殺毒軟件和實(shí)時監(jiān)控的服務(wù)，遠(yuǎn)程注入到其他進(jìn)程來啟動被結(jié)束進(jìn)程的病毒，病毒會在每個分區(qū)下釋放autorun.inf來實(shí)現(xiàn)自運(yùn)行。會感染除System32目錄外其他目錄下的所有可執(zhí)行文件，并且會感染RAR壓縮包內(nèi)的文件。

3.?AV終結(jié)者

AV終結(jié)者病毒會禁用所有殺毒軟件以及大量的安全輔助工具，使用戶電腦失去安全保障；會破壞安全模式，致使用戶根本無法進(jìn)入安全模式清除病毒；會強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁，只要在網(wǎng)頁中輸入“病毒”相關(guān)字樣，網(wǎng)頁遂被強(qiáng)行關(guān)閉，即使是一些安全論壇也無法登錄，用戶無法通過網(wǎng)絡(luò)尋求解決辦法；在各驅(qū)動器根目錄下釋放autorun.ir文件，利用Windows系統(tǒng)的自動播放功能誘發(fā)病毒體的執(zhí)行。如果不對各驅(qū)動器根目錄下的autorun.inf文件加以清理，即使用戶格式化系統(tǒng)盤(如C盤)并重裝系統(tǒng)后，也可能在訪問其他驅(qū)動(D、E、F盤等)時導(dǎo)致再次感染。

4．OnlineGames系列盜號木馬

這是一類盜號木馬系列的統(tǒng)稱，這類木馬的特點(diǎn)就是通過進(jìn)程注入盜取流行的各大網(wǎng)絡(luò)游戲(如魔獸、夢幻西游等)的賬號從而通過買賣裝備獲得利益。這類病毒本身一般不會對抗殺毒軟件，但經(jīng)常伴隨著AV終結(jié)者、機(jī)器狗等病毒出現(xiàn)。

5．SWFExploit病毒

該病毒利用AdobeFlashPlayer中一段有BUG的代碼，篡改了其用于安全驗(yàn)證的模塊數(shù)據(jù)，并通過精心構(gòu)造數(shù)值，讓病毒自身代碼可以繞過安全監(jiān)控，直接在電腦中運(yùn)行，并下載其他的大量病毒程序到用戶的電腦上運(yùn)行。

6．Auto木馬下載器

此類病毒的主要傳播途徑是U盤、移動硬盤等移動存儲設(shè)備。它們通常采用在磁盤根目錄下放置autorun.inf文件的方法，利用Windows系統(tǒng)的自動播放功能來實(shí)現(xiàn)病毒的自啟動。運(yùn)行以后，該類病毒會破壞Windows系統(tǒng)安全模式、修改并鎖定“隱藏系統(tǒng)文件”等系統(tǒng)設(shè)置，以此來實(shí)現(xiàn)隱藏并保護(hù)自身的目的。此外，該類病毒同樣具有“下載器”功能，能夠掩護(hù)并下載大量的盜號木馬、流氓軟件到用戶電腦上，嚴(yán)重影響用戶系統(tǒng)的穩(wěn)定性，并可能導(dǎo)致系統(tǒng)藍(lán)屏、失泄密等情況的發(fā)生。

7．?Rootkit病毒

這類病毒經(jīng)常伴隨著OnlineGames系列病毒出現(xiàn)。這類病毒使用Rootkit技術(shù)來隱藏加載OnlineGames系列病毒，還會通過驅(qū)動來恢復(fù)SSDTInlineHOOK，使得殺毒軟件失去對系統(tǒng)的保護(hù)功能。通過Rootkit技術(shù)盜號木馬能夠更有效地盜取賬號密碼。

8．Downloader系列下載器

這是典型的盜號木馬下載者。它通過映像劫持、進(jìn)程操作、窗口監(jiān)控等方式對抗殺毒軟件，會下載安裝大量盜號木馬到用戶電腦。Downloader系列下載者在下載執(zhí)行完盜號木馬后，會自動刪除，原程序不會駐留用戶計(jì)算機(jī)。因此，給殺毒軟件獲取樣本分析帶來了麻煩。5.1.3惡意軟件的社會工程學(xué)及其他傳播方式

在利用虛假網(wǎng)站釣魚的掩護(hù)下，很多釣魚者都會在虛假的網(wǎng)站上留下木馬，這些網(wǎng)站只是內(nèi)容相似，并不會盜取或者誘騙用戶提供信息，但會誘騙訪問者下載網(wǎng)站組件或軟件，利用這些虛假組件或軟件對用戶的計(jì)算機(jī)進(jìn)行控制，或者利用鍵盤木馬來盜取用戶相關(guān)的賬號以及密碼。此外，還有一些其他類型的社會工程學(xué)木馬植入方式。

2008年，國內(nèi)安全廠商截獲TROJ_MDROPPER病毒。該病毒以Word文檔為附件，利用與北京奧運(yùn)相關(guān)的新聞報道散發(fā)含有木馬的大量垃圾郵件，用戶如果不慎運(yùn)行了該木馬，就會安裝一個后門程序，被黑客遠(yuǎn)程控制。除奧運(yùn)會外，很多重大賽事也因擁有眾多觀注者而被病毒利用。早在2006年都靈冬奧會時，蠕蟲WORM_BAGLE.EV就瘋狂發(fā)送過以冬奧會門票為誘餌的電子郵件，企圖欺騙用戶打開附件而中招。

“色戒”病毒并不是特指某個病毒，而是借助電影《色戒》進(jìn)行傳播的病毒。病毒在一些網(wǎng)站上以“色戒”或“色戒完整版”的名義供用戶下載。當(dāng)用戶下載完并雙擊運(yùn)行時，病毒爆發(fā)，同時下載執(zhí)行大量其他病毒，如盜號木馬等。持有病毒服務(wù)端的人會在網(wǎng)絡(luò)游戲中以女性角色“色誘”玩家，然后通過即時聊天工具(如QQ等)進(jìn)行視頻聊天，等玩家的戒備心理降低時，發(fā)送“我的照片”給對方，當(dāng)玩家打開病毒偽裝的“照片”時，病毒便開始運(yùn)行。

一種新的電子郵件詐騙專門以企業(yè)內(nèi)部的首席執(zhí)行官和官員為目標(biāo)，這些電子郵件都包含附件，附件聲稱包含有關(guān)潛在的工作人選的信息。如果打開這個附件，計(jì)算機(jī)就會被能夠竊取企業(yè)信息的木馬程序感染。流行的Mac木馬通過用戶瀏覽視頻網(wǎng)站時傳播。一旦終端用戶訪問這些站點(diǎn)，它就會要求用戶下載QuickTime(Apple公司的數(shù)字多媒體技術(shù))多媒體數(shù)字信號解編碼器，實(shí)際上這是一個木馬程序。如果用戶接受了這一下載，并用所提供的根密碼來安裝這些假冒的程序，則就會受到威脅。

除通過移動載體跳板、惡意網(wǎng)頁、病毒郵件、社會工程學(xué)等方式外，惡意軟件的傳播還可以采取以下形式：

(1)利用操作系統(tǒng)、應(yīng)用軟件等的安全缺陷和漏洞。

目前的Windows操作系統(tǒng)面臨的安全風(fēng)險主要有兩種。一是Windows操作系統(tǒng)對外提供的服務(wù)安全問題導(dǎo)致的操作系統(tǒng)整體安全性問題；二是Windows操作系統(tǒng)容易遭受惡意軟件(如病毒、蠕蟲、后門、特洛伊、間諜軟件/SpyWare)攻擊。這類問題的核心主要是：對于使用Windows操作系統(tǒng)的計(jì)算機(jī)來說，幾乎所有服務(wù)都用System權(quán)限運(yùn)行。只要攻破了一項(xiàng)服務(wù)就能夠獲得System權(quán)限，從而完全控制整臺計(jì)算機(jī)。安全漏洞源自軟件的bug，特權(quán)代碼數(shù)量越大，bug越多，出現(xiàn)漏洞導(dǎo)致風(fēng)險的概率就越高。對于惡意軟件而言，獲得System/Administrators的權(quán)限對于傳播和隱藏來說都非常重要，在某種程度上可以說很多惡意軟件(特別是后門程序)如果沒有System/Administrators權(quán)限甚至不能正常運(yùn)行。如果用戶日常操作時根本不具備System/Administrators權(quán)限，而當(dāng)程序操作需要使用特權(quán)時進(jìn)行明顯提示，絕大部分的惡意軟件是難以傳播的。

(2)利用網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全缺陷。

內(nèi)部網(wǎng)絡(luò)的基本構(gòu)成包括網(wǎng)絡(luò)服務(wù)器和工作站。惡意軟件一般首先通過各種途徑進(jìn)入工作站，然后開始在內(nèi)網(wǎng)傳播。其傳播途徑主要有共享滲透、感染公共文件、映像破壞、ARP木馬攻擊等，其中威脅最大的是ARP木馬攻擊。當(dāng)局域網(wǎng)中某臺計(jì)算機(jī)中了ARP木馬病毒時，會向局域網(wǎng)發(fā)送大量ARP數(shù)據(jù)包。該木馬通過劫持網(wǎng)絡(luò)會話，可以在正常計(jì)算機(jī)上網(wǎng)時，插入特定惡意軟件，強(qiáng)令未中毒的正常計(jì)算機(jī)瀏覽指定網(wǎng)站或下載病毒木馬。更為嚴(yán)重的是，這種攻擊行為已經(jīng)擴(kuò)散到從客戶端到內(nèi)容源服務(wù)器之間的所有環(huán)節(jié)。攻擊者利用黑客技術(shù)入侵廣域網(wǎng)路由，導(dǎo)致某地區(qū)所有計(jì)算機(jī)訪問網(wǎng)站時下載木馬或強(qiáng)行彈出廣告。攻擊者還會攻擊內(nèi)容源服務(wù)器所在的局域網(wǎng)，當(dāng)黑客成功入侵內(nèi)容源服務(wù)器所在網(wǎng)段的某臺主機(jī)后，再利用ARP欺騙劫持會話，造成所有訪問該內(nèi)容源的客戶機(jī)下載病毒木馬或者彈出廣告。5.1.4惡意軟件的自我防御技術(shù)

用“無所不用其極”來描述新型惡意軟件的自我防御技術(shù)可謂一針見血。除了盡量用“低調(diào)、隱蔽”的入侵方式來防止被檢測和清除的辦法外，近兩年還出現(xiàn)了“毒堅(jiān)強(qiáng)”型的新型惡意軟件，這類軟件具有極強(qiáng)的對抗性特點(diǎn)，以下是一些典型的技術(shù)：

(1)通過發(fā)送關(guān)閉消息的方式關(guān)閉殺毒軟件。

(2)通過生成一個內(nèi)核權(quán)限的驅(qū)動程序來破壞殺毒軟件的監(jiān)控，使殺毒軟件的監(jiān)控功能失效，然后再關(guān)閉殺毒軟件并阻止殺毒軟件升級，同時屏蔽主流的殺毒軟件網(wǎng)頁。

(3)生成一個系統(tǒng)服務(wù)程序來保護(hù)其進(jìn)程不被關(guān)閉。

(4)利用進(jìn)程守護(hù)技術(shù)，發(fā)現(xiàn)病毒文件被刪除或被關(guān)閉，會馬上生成并重新運(yùn)行。

(5)病毒程序以系統(tǒng)級權(quán)限運(yùn)行，DLL組件會插入系統(tǒng)幾乎所有的進(jìn)程中加載運(yùn)行(包括系統(tǒng)級權(quán)限的進(jìn)程)。

(6)利用關(guān)機(jī)回寫技術(shù)，在關(guān)閉計(jì)算機(jī)時把病毒主程序體保存到啟動文件夾中，實(shí)現(xiàn)開機(jī)自啟動。系統(tǒng)啟動后再將啟動文件夾中的病毒主體刪除掉。

(7)使用反HIPS技術(shù)繞過部分主動防御程序“HIPS”的監(jiān)控。

(8)利用光纖接入的服務(wù)器高速升級病毒體，迅速更新，避免殺毒軟件查殺。

(9)檢測是否在虛擬機(jī)上運(yùn)行。如果識別到虛擬機(jī)，迅速隱藏或改變大部分功能。

(10)?Rootkit。通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，進(jìn)而達(dá)到隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息的目的。

(11)破壞硬盤還原軟件。木馬運(yùn)行后，會在System32\drivers目錄下釋放出驅(qū)動程序，接管硬盤還原軟件或者硬盤保護(hù)卡對硬盤的讀寫操作，使還原失效。

其中，Rootkit不僅是上述許多技術(shù)(如內(nèi)核驅(qū)動程序、進(jìn)程守護(hù)、反HIPS、硬盤還原破壞等)的基礎(chǔ)，而且是國外專家級黑客重點(diǎn)突破的方向。因此，接下來對Rootkit進(jìn)行更具體的介紹。內(nèi)核Rootkit使攻擊者獲得對系統(tǒng)底層的完全控制權(quán)。攻擊者可以修改系統(tǒng)內(nèi)核，進(jìn)行重定向，截獲運(yùn)行某一程序的命令，將其重定向到入侵者所選中的程序并運(yùn)行此程序。曾有研究人員演示過通過修改磁盤上頁面文件來加載未經(jīng)數(shù)字簽名的驅(qū)動程序，說明通過技術(shù)手段來突破Vista的驅(qū)動加載管理并非不可能。攻擊者還可以使用特殊的加載程序來加載未經(jīng)數(shù)字簽名的程序，安全公司LinchpinLabs就發(fā)布了一種稱做Astiv的小工具，使用經(jīng)過數(shù)字簽名的系統(tǒng)組件來加載未經(jīng)數(shù)字簽名的驅(qū)動程序，而且用這種方式加載的驅(qū)動程序并不會出現(xiàn)在正常驅(qū)動程序列表中，這樣更增強(qiáng)了加載目標(biāo)驅(qū)動程序的隱蔽性。近幾年來，黑客們已經(jīng)開始尋找在操作系統(tǒng)之外運(yùn)行Rootkit軟件的方法，以使其更難于被發(fā)現(xiàn)，Rootkit正越來越多地轉(zhuǎn)向硬件，它在系統(tǒng)中隱藏得越深，其實(shí)現(xiàn)的功能就越大，并且被殺毒軟件檢測到的難度就越大。安全專家已經(jīng)發(fā)現(xiàn)一個新類型的惡意Rootkit軟件可以將自己隱藏在計(jì)算機(jī)微處理器的系統(tǒng)管理模式(SystemManagementMode，SMM)，它運(yùn)行在計(jì)算機(jī)內(nèi)存的一個受保護(hù)區(qū)域中，這個區(qū)域是操作系統(tǒng)無法發(fā)現(xiàn)和訪問的，但它可以讓黑客了解在計(jì)算機(jī)內(nèi)存中正在發(fā)生的操作。系統(tǒng)管理模式Rootkit使用的是一個已經(jīng)存在了很長時間且已經(jīng)存在于很多計(jì)算機(jī)中的一個功能。早在英特爾的386處理器中就用到了系統(tǒng)管理模式，該功能被用來幫助硬件廠商通過軟件來修復(fù)硬件中的漏洞。該技術(shù)還被用來幫助管理計(jì)算機(jī)的電源管理，例如進(jìn)入睡眠模式。在很多方面，運(yùn)行在內(nèi)存鎖定區(qū)域的系統(tǒng)管理模式Rootkit更難于被檢測到。目前的反病毒軟件將無法檢測到一個系統(tǒng)管理模式Rootkit。由于與操作系統(tǒng)分離，所以這個系統(tǒng)管理模式Rootkit很難被發(fā)現(xiàn)，但是同時也意味著黑客必須專門為他們攻擊的不同硬件類型系統(tǒng)編寫驅(qū)動程序。此外，下面介紹兩個典型的“暴徒”型惡意軟件，我們可以從具體的例子中了解它們的自我防御方式：

(1)“色情終結(jié)者”。此病毒通過U盤等存儲器和網(wǎng)絡(luò)傳播。病毒運(yùn)行后，在%SystemRoot%\目錄和%SystemRoot%\System32\目錄下生成以當(dāng)前用戶名命名的vbs腳本文件和ini文件，還會在各磁盤根目錄下生成同樣的vbs腳本文件和autorun.inf文件。這些vbs文件都是病毒的復(fù)制品，病毒將其設(shè)置為當(dāng)用戶雙擊打開盤符或點(diǎn)擊右鍵選擇資源管理器時運(yùn)行。同時病毒將自己設(shè)置為txt、hlp、chm、reg等類型文件的關(guān)聯(lián)程序，當(dāng)用戶雙擊打開這些類型的文件時，都會執(zhí)行病毒程序。病毒還會修改注冊表，實(shí)現(xiàn)隨系統(tǒng)自啟動，并將隱藏文件和受保護(hù)的操作系統(tǒng)文件鎖定為無法顯示。這樣一來，用戶便無法發(fā)現(xiàn)它。而為了對付安全軟件，病毒運(yùn)行后會搜索是否有打開的任務(wù)管理器、注冊表編輯器、msconfig啟動組清理、命令行提示符、瑞士軍刀注冊表修復(fù)工具及360安全衛(wèi)士，如果有，就將其強(qiáng)行關(guān)閉。隨后，病毒開始感染用戶電腦中所有正常的vbs腳本文件，以及以hta、htm、html、asp為擴(kuò)展名的網(wǎng)頁文件。在發(fā)作過程中，此病毒會搜索各磁盤里的avi、mpg、rm、rmvb格式視頻文件，如發(fā)現(xiàn)其文件名與色情有關(guān)，便會將它們刪除。

(2)“下載者VBS13056”。病毒運(yùn)行后，會把自身?.vbe復(fù)制到%windir%\目錄和%Windir%\System32\目錄下，然后修改注冊表，實(shí)現(xiàn)自啟動。接著，遍歷網(wǎng)絡(luò)硬盤和可移動硬盤(除a:\和b:\)，在各盤根目錄下生成?.vbs和病毒配置文件autorun.inf，擴(kuò)大傳染范圍。如果盤根目錄下已經(jīng)存在?.vbs和autorun.inf，病毒便讀取其數(shù)據(jù)，判斷是否屬于自己的病毒文件，如不同，就將其改寫為自己的文件。然后，通過檢測萬象進(jìn)程的方法判斷目前所在的電腦是否為網(wǎng)吧設(shè)備，如果不是，就會執(zhí)行升級過程，下載temp.txt文件，從中獲取盜號木馬的最新下載地址。此外，這個病毒將系統(tǒng)時間修改為2002年，使部分安全軟件的注冊更新失效，無法正常工作。

5.2僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)(Botnet)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī)，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)(DDoS)攻擊、海量垃圾郵件等，同時黑客控制的這些計(jì)算機(jī)所保存的信息，譬如銀行賬戶密碼與社會保險號碼等也都可能被黑客隨意“取用”。因此，不論是對網(wǎng)絡(luò)安全運(yùn)行還是用戶數(shù)據(jù)安全的保護(hù)來說，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。僵尸網(wǎng)絡(luò)的基礎(chǔ)是惡意軟件，作為世界上最大的惡意軟件流行區(qū)域，中國被惡意軟件感染的計(jì)算機(jī)數(shù)量極為龐大，數(shù)百萬臺被惡意軟件感染的電腦都可以通過控制服務(wù)器來集中操控，形成巨型僵尸網(wǎng)絡(luò)。危險的是，發(fā)現(xiàn)一個僵尸網(wǎng)絡(luò)是非常困難的，因?yàn)楣粽咄ǔ＿h(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機(jī)”，這些主機(jī)的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上最受攻擊者青睞的作案工具。這樣的僵尸網(wǎng)絡(luò)一旦在統(tǒng)一號令下激活，同時對網(wǎng)絡(luò)中的某一個節(jié)點(diǎn)發(fā)動攻擊，不管是網(wǎng)上竊密還是惡意破壞，其能量之大都極為可怕。5.2.1僵尸網(wǎng)絡(luò)的概念和特征

僵尸網(wǎng)絡(luò)是指攻擊者出于惡意目的，采用一種或多種傳播手段，使大量主機(jī)感染Bot程序(僵尸程序)，從而在控制者和被感染主機(jī)之間形成“一對多”指揮控制關(guān)系的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)(Botnet)的形成有兩個前提，首先僵尸網(wǎng)絡(luò)客戶端必須能夠在黑客不必登錄Bot操作系統(tǒng)的前提下仍可執(zhí)行黑客指定的操作；其次，僵尸網(wǎng)絡(luò)客戶端必須能夠協(xié)同實(shí)現(xiàn)某一目標(biāo)，而這一協(xié)同僅需要黑客的最小參與甚至零參與。滿足以上兩個條件的計(jì)算機(jī)集合才能成為僵尸網(wǎng)絡(luò)，其基本結(jié)構(gòu)如圖5-1所示。圖5-1僵尸網(wǎng)絡(luò)的基本結(jié)構(gòu)為方便讀者參閱外文資料，本節(jié)先對僵尸網(wǎng)絡(luò)中的一些英文名詞進(jìn)行解釋：

Bot：機(jī)器人(Robot)的縮寫，是一段可以自動執(zhí)行預(yù)先設(shè)定功能，可以被控制，具有一定人工智能的程序。通常帶有惡意軟件的Bot被秘密植入受控計(jì)算機(jī)，主動連接服務(wù)器接受控制指令，并依照指令完成相應(yīng)功能。

Zombie：被包含惡意軟件的Bot感染或能被遠(yuǎn)程控制的計(jì)算機(jī)，又名僵尸計(jì)算機(jī)或“肉雞”。

IRCBot：利用IRC協(xié)議進(jìn)行通信和控制的Bot。通常，IRCBot連接預(yù)定義的服務(wù)器，加入預(yù)定義的頻道中，接收經(jīng)過認(rèn)證的控制者發(fā)出的命令，執(zhí)行相應(yīng)的操作。運(yùn)用IRC協(xié)議實(shí)現(xiàn)Bot、服務(wù)器和控制者之間的通信和控制具有很多優(yōu)勢，因此目前絕大多數(shù)的Bot都基于IRC協(xié)議。

Command&ControlServer：IRCBot連接的IRC服務(wù)器稱為命令與控制服務(wù)器，控制者通過該服務(wù)器發(fā)送命令，進(jìn)行控制。

Botnet：僵尸網(wǎng)絡(luò)。它是由大量能夠?qū)崿F(xiàn)惡意功能的Bot、命令與控制服務(wù)器及控制者組成，能夠受攻擊者控制的網(wǎng)絡(luò)。攻擊者在公開或秘密的IRC服務(wù)器上開辟私有的聊天頻道作為控制頻道，僵尸程序中預(yù)先已經(jīng)設(shè)定好這些信息，當(dāng)僵尸計(jì)算機(jī)運(yùn)行時，僵尸程序就自動搜索并連接到這些控制頻道，接收頻道中的所有信息，這樣就構(gòu)成了一個IRC協(xié)議的僵尸網(wǎng)絡(luò)。攻擊者通過IRC服務(wù)器，向整個僵尸網(wǎng)絡(luò)內(nèi)的受控節(jié)點(diǎn)發(fā)送控制命令，操縱這些“僵尸”進(jìn)行破壞或者竊取行為。通常，頻道設(shè)置為隱秘并加上密碼防止非Bot用戶進(jìn)入。僵尸網(wǎng)絡(luò)具有以下典型特征：

(1)?Botnet是一個可控制的網(wǎng)絡(luò)，但并不是指物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。它具有一定的分布性，隨著Bot程序的不斷傳播而不斷有新位置的僵尸計(jì)算機(jī)添加到這個網(wǎng)絡(luò)

中來。

(2)此網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，例如主動漏洞攻擊、郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進(jìn)行Botnet的傳播。從這個意義上講，惡意程序Bot也是一種病毒或蠕蟲。

(3)?Botnet的最主要的特點(diǎn)，就是可以一對多地執(zhí)行相同的惡意行為，比如可以同時對某目標(biāo)網(wǎng)站進(jìn)行DDoS攻擊，同時發(fā)送大量的垃圾郵件等，而正是這種一對多的控制關(guān)系，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務(wù)，這也是Botnet攻擊模式近年來受到攻擊者青睞的根本原因。在執(zhí)行惡意行為的時候，Botnet充當(dāng)了一個攻擊平臺的角色，這也就使得Botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。5.2.2僵尸網(wǎng)絡(luò)的發(fā)展和分類

Botnet是隨著自動智能程序的應(yīng)用而逐漸發(fā)展起來的。在早期的IRC聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序完成。于是在1993年，在IRC聊天網(wǎng)絡(luò)中出現(xiàn)了Bot工具——Eggdrop，這是第一個Bot程序，能夠幫助用戶方便地使用IRC聊天網(wǎng)絡(luò)。這種Bot的功能是良性的，是出于服務(wù)的目的，然而這個設(shè)計(jì)思路卻為攻擊者所利用，他們編寫出了帶有惡意的Bot工具，開始對大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。

20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā)動分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了Botnet的雛形。

1999年，在第八屆DEFCON年會上發(fā)布的SubSeven2.1版開始使用IRC協(xié)議構(gòu)建攻擊者對僵尸主機(jī)的控制信道，也成為第一個真正意義上的Bot程序。隨后基于IRC協(xié)議的Bot程序的大量出現(xiàn)，如GTBot、Sdbot等，使得基于IRC協(xié)議的Botnet成為主流。

2003年后，隨著蠕蟲技術(shù)的不斷成熟，Bot的傳播開始使用蠕蟲的主動傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet，著名的有2004年爆發(fā)的Agobot/Gaobot和rBot/Spybot。同年出現(xiàn)的Phatbot則在Agobot的基礎(chǔ)上，開始獨(dú)立使用P2P結(jié)構(gòu)構(gòu)建控制信道。

從良性Bot的出現(xiàn)到惡意Bot的實(shí)現(xiàn)，從被動傳播到利用蠕蟲技術(shù)主動傳播，從使用簡單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變的P2P結(jié)構(gòu)的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全帶來的威脅不容忽視。

Botnet根據(jù)分類標(biāo)準(zhǔn)的不同，有許多種分類，本書按Botnet的控制方式分為：

(1)?IRCBotnet。它是指控制和通信方式為利用IRC協(xié)議的Botnet，形成這類Botnet的主要Bot程序有spybot、GTbot和SDbot，目前大多數(shù)Botnet屬于這一類別。

(2)?AOLBotnet。與IRCBot類似，AOL為美國在線提供的一種即時通信服務(wù)，這類Botnet是依托這種即時通信服務(wù)形成的網(wǎng)絡(luò)而建立的，被感染主機(jī)登錄到固定的服務(wù)器上接收控制命令。AIM-Canbot和Fizzer就采用了AOLInstantMessager實(shí)現(xiàn)對Bot的控制。

(3)?P2PBotnet。這類Botnet中使用的Bot程序本身包含了P2P的客戶端，可以接入采用了Gnutella技術(shù)(一種開放源碼的文件共享技術(shù))的服務(wù)器，利用WASTE文件共享協(xié)議進(jìn)行相互通信。這種協(xié)議分布式連接，使得每一個僵尸主機(jī)可以很方便地找到其他的僵尸主機(jī)并進(jìn)行通信，而當(dāng)有一些Bot被查殺時，并不會影響到Botnet的生存，所以這類Botnet具有不存在單點(diǎn)失效但實(shí)現(xiàn)相對復(fù)雜的特點(diǎn)。Agobot和Phatbot采用了P2P的方式。下面簡單介紹幾個典型的僵尸網(wǎng)絡(luò)。

1．Agobot/Phatbot/Forbot/XtremBot

目前，殺毒軟件廠商已經(jīng)查明了Agobot病毒的500多種變體，目前這一數(shù)字正在穩(wěn)步增加。這一僵尸病毒是在跨平臺上用C++語言編程的，并且其源代碼是在通用性公開許可證(GPL)準(zhǔn)則之下的。這一僵尸病毒以一種非常復(fù)雜的模塊化結(jié)構(gòu)出現(xiàn)，很容易就可以利用計(jì)算機(jī)漏洞執(zhí)行掃描或運(yùn)行命令。Agobot利用libpcap(一種信息包嗅探庫)和PCRE(Perl兼容正則表達(dá)式庫)來嗅探和分析流量，也可以利用NTFS交替數(shù)據(jù)流(ADS)，還可以提供像文件一樣的Rootkit和進(jìn)程來隱藏自己。除此之外，它還包含偵查調(diào)試器(如SoftICE、OllyDbg)和虛擬技術(shù)計(jì)算機(jī)的功能。

2．SDBot/RBot/UrBot/UrXBot

SDBot是以非常簡單的C語言編寫的，也以GPL的形式出現(xiàn)。它是RBot、RxBot、UrBot、UrXBot、JrBot或其他病毒產(chǎn)生的母體。這種僵尸病毒的源代碼設(shè)計(jì)并不是太好。盡管如此，攻擊者卻對它情有獨(dú)鐘，目前也很流行。雖然它與Agobot有某些相似之處，但是它的命令設(shè)置以及執(zhí)行的復(fù)雜程度都不能與Agobot同日而語。

3．以mIRC為基礎(chǔ)的僵尸和GT僵尸

mIRC本身就是Windows操作系統(tǒng)上非常流行的一款在線聊天系統(tǒng)程序。GT是GlobalThreat(全球威脅)的簡稱。對于所有的以mIRC為腳本的僵尸病毒都可以這樣稱呼。這些僵尸病毒借助一套腳本程序和二進(jìn)位來利用mIRC在線聊天系統(tǒng)程序，其中有一種叫做HideWindow的可執(zhí)行二進(jìn)位程序會導(dǎo)致mIRC在線聊天系統(tǒng)程序?qū)τ脩舻钠帘巍Ｆ渌恍┒M(jìn)位程序主要是與mIRC相聯(lián)系的DLL，可能會加載新的特征，這樣mIRC腳本就會被利用。mIRC腳本的后綴名一般是“.mrc”，通常是用來控制僵尸計(jì)算機(jī)的。GT僵尸病毒一般利用的是遠(yuǎn)程計(jì)算機(jī)的缺陷，然后將病毒上傳至受威脅的主機(jī)(一般來說文件大小超過1MB)。

4．Kaiten

這種病毒缺乏擴(kuò)展功能，主要針對Unix/Linux操作系統(tǒng)。不夠謹(jǐn)慎的用戶授權(quán)會讓Kaiten非常容易地就劫持僵尸計(jì)算機(jī)。此僵尸病毒本身只包含一個文件，這樣，使用wget就可以輕而易舉地找到它的源代碼，然后使用一個腳本就可以在一個受威脅的環(huán)境中編輯它。Kaiten提供了一種非常簡單的遠(yuǎn)程攻擊命令，因此，通過檢查遠(yuǎn)程漏洞來尋找網(wǎng)絡(luò)訪問權(quán)限一般是通過IRC(在線聊天系統(tǒng))來實(shí)現(xiàn)的。5.2.3傳統(tǒng)的IRC控制方式

IRC協(xié)議是互聯(lián)網(wǎng)早期就廣泛使用的實(shí)時網(wǎng)絡(luò)聊天協(xié)議，它使得世界各地的互聯(lián)網(wǎng)用戶能夠加入到聊天頻道中進(jìn)行基于文本的實(shí)時討論。IRC協(xié)議基于客戶端-服務(wù)器模型，用戶運(yùn)行IRC客戶端軟件連接到IRC服務(wù)器上，IRC服務(wù)器可以通過互相連接構(gòu)成龐大的IRC聊天網(wǎng)絡(luò)，并將用戶的消息通過聊天網(wǎng)絡(luò)發(fā)送到目標(biāo)用戶或用戶群。IRC網(wǎng)絡(luò)中最普遍使用的一種通信方式是群聊方式，即多個IRC客戶端連接到IRC網(wǎng)絡(luò)并創(chuàng)建一個聊天信道，每個客戶端發(fā)送到IRC服務(wù)器的消息將被轉(zhuǎn)發(fā)給連接這個信道的全部客戶端。此外，IRC協(xié)議也支持兩個客戶端之間的私聊方式。

IRC協(xié)議提供了一種簡單、低延遲、匿名的實(shí)時通信方式，而且也被攻擊者普遍使用于相互間的遠(yuǎn)程交流，因此，在僵尸網(wǎng)絡(luò)發(fā)展初期，IRC協(xié)議自然成了構(gòu)建一對多命令與控制信道的主流協(xié)議。

如圖5-2所示，在傳統(tǒng)的基于IRC的控制方式中，控制服務(wù)器通常是IRC網(wǎng)絡(luò)中的公用服務(wù)器。過去的僵尸網(wǎng)絡(luò)都是基于IRC協(xié)議的，這個應(yīng)用層協(xié)議給人們提供了一個IRC的服務(wù)器和聊天頻道進(jìn)行相互實(shí)時對話的環(huán)境。攻擊者可以通過客戶端連接到IRC服務(wù)器，建立、選擇并加入感興趣的頻道，每個用戶都可以將消息發(fā)送給頻道內(nèi)的所有僵尸，也可以單獨(dú)發(fā)給某個僵尸。圖5-2僵尸網(wǎng)絡(luò)IRC控制模式

IRC協(xié)議采用C/S模式，當(dāng)Bot在被感染計(jì)算機(jī)上運(yùn)行后，以一個隨機(jī)的Nickname和內(nèi)置密碼連接到特定的IRC服務(wù)器，并加入指定的頻道。攻擊者隨時登錄該頻道，并發(fā)送認(rèn)證消息，認(rèn)證通過后，隨即向活躍的僵尸程序(或者暫時非活躍的僵尸程序)發(fā)送控制指令。Bot讀取所有發(fā)送到頻道的消息或者是頻道的標(biāo)題，如果是已通過認(rèn)證的攻擊者的可識別的指令，則立即執(zhí)行。通常這些指令涉及更新Bot程序、傳輸或下載指定文件、遠(yuǎn)程控制連接、發(fā)起拒絕服務(wù)攻擊、開啟代理服務(wù)器等等。隨著Bot大范圍地快速傳播，攻擊者漸漸將原本不相關(guān)的計(jì)算機(jī)聯(lián)系起來，通過預(yù)設(shè)的僵尸程序的指令，連接到指定的IRC服務(wù)器，接受攻擊者的控制，形成一個龐大的網(wǎng)絡(luò)體系，這就是僵尸網(wǎng)絡(luò)的初步形成。而后由這個平臺發(fā)起更多的、更加隱蔽的擴(kuò)展入侵行為。僵尸網(wǎng)絡(luò)不僅提供控制數(shù)百臺僵尸計(jì)算機(jī)的方法，還會提供相應(yīng)的技術(shù)來隱藏其真實(shí)身份。這樣就使得攻擊來源模糊化從而難以偵查。頻道的管理員可以設(shè)置頻道的屬性，比如設(shè)置密碼、設(shè)置頻道為隱藏模式。面對形勢的變化，還出現(xiàn)了僵尸網(wǎng)絡(luò)萃取，使用動態(tài)域名服務(wù)器，將域名鏈接到一個動態(tài)的IP地址上，這樣可以迅速將僵尸配置到新的服務(wù)器中。攻擊者通常編寫自己的IRCBot，它只支持部分IRC命令，并將收到的消息作為命令進(jìn)行解釋執(zhí)行。此外，也可以直接利用商業(yè)版/開源的IRC服務(wù)器程序迅速搭建。5.2.4IRCBotnet的工作原理

1．生成

生成步驟依賴于攻擊者的能力和要求。黑客會決定是否采用自己編寫的僵尸代碼或是僅對現(xiàn)存的代碼作簡單的修改。

2．配置

在配置階段主要包括提供IRC服務(wù)器和通道信息。一旦被安裝到受威脅的計(jì)算機(jī)中，僵尸計(jì)算機(jī)就會連接到指定的主機(jī)。攻擊者首先會輸入必要的數(shù)據(jù)來限制僵尸計(jì)算機(jī)的訪問權(quán)限，保證只有獲得權(quán)限的人才可以控制僵尸網(wǎng)絡(luò)。

3．傳播

Bot程序，通常為惡意軟件，傳播過程包括利用操作系統(tǒng)或是服務(wù)的漏洞、使用惡意的HTML網(wǎng)頁、P2P網(wǎng)絡(luò)，甚至直接的點(diǎn)對點(diǎn)的文件傳輸來發(fā)布惡意軟件。攻擊一般都伴有蠕蟲病毒，其任務(wù)是尋找本地網(wǎng)絡(luò)的系統(tǒng)漏洞，然后試圖讓更多的機(jī)器感染僵尸代碼。其轉(zhuǎn)播過程主要有五種形式：

①攻擊漏洞：攻擊者主動攻擊系統(tǒng)漏洞獲得訪問權(quán)，并在Shellcode執(zhí)行僵尸程序注入代碼。這些漏洞多數(shù)都是緩存區(qū)溢出漏洞。

②郵件攜帶。

③即時消息通信。④惡意網(wǎng)站腳本：攻擊者對有漏洞的服務(wù)器掛馬或者直接建立一個惡意服務(wù)器，訪問帶有惡意代碼的網(wǎng)頁后，主機(jī)則很容易感染上惡意代碼。

⑤偽裝軟件：很多Bot程序被夾雜在P2P共享文件、局域網(wǎng)內(nèi)共享文件、免費(fèi)軟件、共享軟件中，一旦下載并且打開了這些文件，則會立即感染Bot程序。

4．感染

①攻擊程序在攻陷主機(jī)后有兩種做法。一個是隨即將Bot程序植入被攻陷的主機(jī)，另一個是讓被攻陷的主機(jī)自己去指定的地方下載。這種從指定地方下載的過程稱為二次注入，二次注入是為了方便攻擊者隨時更新Bot程序，不斷增加新功能。同時不斷改變的代碼特征也增加了跟蹤的難度。

②?Bot程序植入被攻陷的主機(jī)，會自動脫殼。

③在被感染主機(jī)上執(zhí)行IRC客戶端程序。

④?Bot主機(jī)從指定的服務(wù)器上讀取配置文件并導(dǎo)入攻擊代碼。

⑤?Bot程序隱藏IRC界面，修改Windows注冊表的自啟動部分。

⑥?Bot程序關(guān)閉某些特定程序(bootstrapprocess)，如防火墻、系統(tǒng)自動更新。

5．加入Botnet

僵尸網(wǎng)絡(luò)安裝后將與IRC服務(wù)器取得聯(lián)系，通過密碼驗(yàn)證進(jìn)入控制渠道。隨后接收來自主機(jī)應(yīng)用程序的命令。攻擊者也使用密碼鏈接僵尸網(wǎng)絡(luò)，防止其他攻擊者獲得僵尸網(wǎng)絡(luò)的控制權(quán)。為了更好地隱藏，許多專業(yè)黑客使用特制的IRC服務(wù)器，加密所有通信交流。使用各種個性化的IRC服務(wù)器軟件，可以用來監(jiān)聽非標(biāo)準(zhǔn)端口或使用改進(jìn)版的通信協(xié)議，讓普通的IRC客戶機(jī)不能進(jìn)入這一網(wǎng)絡(luò)。下面介紹僵尸主機(jī)加入Botnet的過程：

①如果Bot中有域名，先解析域名，通常采用動態(tài)域名。②?Bot主機(jī)與IRC服務(wù)器建立TCP連接。為增強(qiáng)安全性，有的IRC服務(wù)器設(shè)置了連接密碼。連接密碼在TCP三次握手后，通過PASS命令發(fā)送。

③?Bot主機(jī)與IRC服務(wù)器發(fā)送NICK和USER命令，NICK通常有一個固定的前綴，如CHN12345、ph2-1234，前綴通常為國名的簡稱、操作系統(tǒng)版本等。

④加入預(yù)定義的頻道。頻道名一般硬編碼在Bot體內(nèi)，為增強(qiáng)安全性，有的控制者為頻道設(shè)定了密碼。監(jiān)測數(shù)據(jù)表明，規(guī)模較大的Botnet通常設(shè)置了頻道密碼，但設(shè)置服務(wù)器連接密碼的Botnet還是少數(shù)。

6．接受控制

Botnet的主人必須保持對僵尸主機(jī)的控制，才能利用它們完成預(yù)訂的任務(wù)目標(biāo)。下面以IRCBot為例，簡單描述一下控制主機(jī)是如何控制Bot主機(jī)的：

①攻擊者或者Botnet的主人建立控制主機(jī)。大多數(shù)控制主機(jī)建立在公共的IRC服務(wù)上，這樣做是為了將控制頻道做得隱蔽一些。也有少數(shù)控制主機(jī)是攻擊者自己單獨(dú)建立的。

②?Bot主機(jī)主動連接IRC服務(wù)器，加入某個特定頻道。

③控制者(攻擊者)主機(jī)也連接到IRC服務(wù)器的這個頻道上。④控制者(攻擊者)使用login、!logon、!auth諸如此類的命令認(rèn)證自己，服務(wù)器將該信息轉(zhuǎn)發(fā)給頻道內(nèi)所有的Bot主機(jī)，Bot將該密碼與硬編碼在文件體內(nèi)的密碼比較，若相同，則將該用戶的Nickname記錄下來，以后可以執(zhí)行該用戶發(fā)送的命令?？刂普呔哂蓄l道選擇(channelop)權(quán)限，只有他能發(fā)出命令。5.2.5針對IRCBotnet的防御研究方法

1．使用蜜網(wǎng)技術(shù)

從Bot程序出發(fā)，深入跟蹤和分析Botnet的性質(zhì)和特征。主要的研究過程包括：

①通過蜜罐等手段盡可能多地獲得各種流傳在網(wǎng)上的Bot程序樣本。

②采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的屬性，如Botnet服務(wù)器地址、服務(wù)端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用的用戶名稱，這些信息都為今后有效地跟蹤Botnet和深入分析Botnet的特征提供了條件。

③使用偽裝的客戶端登錄到Botnet中，當(dāng)確認(rèn)其確實(shí)為Botnet后，可以對該Botnet采取相應(yīng)的措施。

2．網(wǎng)絡(luò)流量研究

網(wǎng)絡(luò)流量的研究思路是通過分析基于IRC協(xié)議的Botnet中僵尸主機(jī)的行為特征，將僵尸主機(jī)分為兩類：長時間靜默型和快速加入型。具體來說就是僵尸主機(jī)在Botnet中存在著三個比較明顯的行為特征：一是通過蠕蟲傳播的僵尸程序，大量的被其感染的計(jì)算機(jī)會在很短的時間內(nèi)加入同一個IRCServer中；二是僵尸計(jì)算機(jī)一般會長時間在線；三是僵尸計(jì)算機(jī)作為一個IRC聊天的用戶，在聊天頻道內(nèi)長時間不發(fā)言，保持沉默。將第一種行為特征歸納為快速加入型，將第二、三種行為特征歸納為長期靜默型。研究對應(yīng)這兩類僵尸計(jì)算機(jī)行為的網(wǎng)絡(luò)流量變化，使用離線和在線的兩種分析方法，就可以實(shí)現(xiàn)對Botnet的判斷。

3．IRC控制服務(wù)器識別技術(shù)的研究

通過登錄大量實(shí)際的基于IRC協(xié)議的Botnet的服務(wù)器端，可以看到，攻擊者為了隱藏自身而在服務(wù)器端刻意隱藏了IRC服務(wù)器的部分屬性。同時，通過對Bot源代碼的分析看到，當(dāng)被感染主機(jī)加入控制服務(wù)器時，在服務(wù)器端能夠表現(xiàn)出許多具有規(guī)律性的特征。通過對這些特征的歸納總結(jié)，就形成了可以用來判斷基于IRC協(xié)議的Botnet的服務(wù)器端的規(guī)則，這樣就可以直接確定出Botnet的位置及其規(guī)模、分布等性質(zhì)，為下一步采取應(yīng)對措施提供有力的定位支持。

2009年，我國網(wǎng)絡(luò)安全應(yīng)急組織與美國微軟公司以及歐美一些網(wǎng)絡(luò)安全機(jī)構(gòu)聯(lián)手，成功打擊了一個名為Waledac的全球大型僵尸網(wǎng)絡(luò)。由于Waledac僵尸網(wǎng)絡(luò)的危害嚴(yán)重，微軟公司除在美國通過法律訴訟途徑斷開了僵尸網(wǎng)絡(luò)控制服務(wù)器有關(guān)域名的互聯(lián)網(wǎng)通信外，還請求中國國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)協(xié)助關(guān)閉Waledac僵尸網(wǎng)絡(luò)所使用的部分在中國注冊的域名。CNCERT在進(jìn)行技術(shù)驗(yàn)證后，依據(jù)我國應(yīng)急處置體系的工作機(jī)制和有關(guān)管理辦法，迅速采取行動，協(xié)調(diào)國內(nèi)相關(guān)域名注冊機(jī)構(gòu)，在數(shù)小時內(nèi)就關(guān)閉了微軟提供的全部16個惡意域名。5.2.6僵尸網(wǎng)絡(luò)攻擊運(yùn)用模式

1．DDoS攻擊

一般來說，僵尸網(wǎng)絡(luò)被用來發(fā)動DDoS攻擊，DDoS攻擊的是電腦系統(tǒng)或是可能導(dǎo)致服務(wù)中斷的網(wǎng)絡(luò)，最典型的就是通過消耗受害者的網(wǎng)絡(luò)帶寬或是加載過多的計(jì)算資源來使系統(tǒng)崩潰。除此之外，由于DDoS攻擊導(dǎo)致每秒發(fā)送過多的信息包數(shù)量，就會將系統(tǒng)的帶寬消耗殆盡。所有僵尸計(jì)算網(wǎng)絡(luò)都具有對其他主機(jī)發(fā)動DDoS攻擊的能力。DDoS并不局限于網(wǎng)站服務(wù)器，實(shí)際上，一切形式的因特網(wǎng)的服務(wù)都會淪為他們攻擊的對象。通過使用特定形式的攻擊，高層次的網(wǎng)絡(luò)協(xié)議可以用作增加網(wǎng)絡(luò)負(fù)載量的有效工具，如在受害者的網(wǎng)絡(luò)中的BBS上或是遞歸HTTP溢出運(yùn)行無數(shù)的搜索請求。

2．謠言傳播、社會工程學(xué)攻擊

一些僵尸計(jì)算機(jī)提供SOCKSv4/v5代理。一旦SOCKS被激活，這臺機(jī)器就可以發(fā)送垃圾郵件。在僵尸網(wǎng)絡(luò)和數(shù)以千計(jì)的僵尸計(jì)算機(jī)的協(xié)助下，攻擊者就能借此發(fā)送大量的垃圾郵件，還有一些僵尸計(jì)算機(jī)專門收集電子郵件地址。此外，也有可能發(fā)送網(wǎng)絡(luò)釣魚郵件，因?yàn)榫W(wǎng)絡(luò)釣魚是一種特殊的垃圾郵件形式。“風(fēng)暴”僵尸網(wǎng)絡(luò)最初是在2007年初創(chuàng)建的，當(dāng)時風(fēng)暴蠕蟲到處傳播，蠕蟲隱藏在主題是“暴風(fēng)雨襲擊歐洲造成230人死亡”的電子郵件的附件中。后來，它被用來進(jìn)行拒絕服務(wù)攻擊。目前，“風(fēng)暴”僵尸網(wǎng)絡(luò)的操縱者們又發(fā)現(xiàn)了新用途：網(wǎng)絡(luò)釣魚攻擊。釣魚攻擊者偽裝成國家銀行的客戶服務(wù)部門向粗心大意的用戶發(fā)出大量的虛假信息，點(diǎn)擊這個郵件中的網(wǎng)絡(luò)鏈接就會讓用戶訪問一個假冒的網(wǎng)站，使釣魚攻擊者在那里竊取用戶的銀行賬戶信息。

3．網(wǎng)絡(luò)監(jiān)聽

僵尸計(jì)算機(jī)同樣使用封包監(jiān)聽器(Packetsniffer)來監(jiān)聽受到威脅的計(jì)算機(jī)中有價值的明碼數(shù)據(jù)。網(wǎng)絡(luò)監(jiān)聽器一般用來重新找回諸如用戶名或者密碼類的敏感信息。但是被監(jiān)聽的數(shù)據(jù)也常常包含有重要的信息和數(shù)據(jù)。如果一臺計(jì)算機(jī)遭到的危險不止一次，并且很可能是不止一個僵尸網(wǎng)絡(luò)的組成部分，信息監(jiān)聽還會允許探測其他僵尸網(wǎng)絡(luò)中的敏感信息。這樣就使得從其他僵尸網(wǎng)絡(luò)中盜取計(jì)算機(jī)成為可能。

4．鍵盤記錄

如果受到威脅的計(jì)算機(jī)使用的是加密的信息傳輸通道(如HTTP或POP3協(xié)議)，那么監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)毫無價值，因?yàn)槿狈饷苓@些數(shù)據(jù)相應(yīng)的密鑰。但是絕大多數(shù)的僵尸計(jì)算機(jī)在鍵盤記錄器的幫助下，可以悄悄記錄用戶輸入習(xí)慣，從而分析并找到敏感信息，一些過濾機(jī)制會幫助盜取機(jī)密數(shù)據(jù)。

5．傳播惡意軟件

大多數(shù)情況下，僵尸網(wǎng)絡(luò)被用來擴(kuò)展僵尸計(jì)算機(jī)的數(shù)量。所有的僵尸計(jì)算機(jī)都執(zhí)行一種下載機(jī)制，然后通過HTTP或FTP執(zhí)行文件。同樣可以使用僵尸網(wǎng)絡(luò)來傳播包含病毒的郵件。如果一個僵尸網(wǎng)絡(luò)包含的僵尸計(jì)算機(jī)的數(shù)量超過10000臺，則發(fā)送的郵件將會產(chǎn)生相當(dāng)大的破壞性。

6．大規(guī)模點(diǎn)擊廣告網(wǎng)頁牟取暴利

僵尸網(wǎng)絡(luò)可帶來經(jīng)濟(jì)收益。通過開發(fā)一個含有廣告的虛假網(wǎng)站，網(wǎng)站的開發(fā)者與一些公司達(dá)成協(xié)議，如果有廣告的點(diǎn)擊，公司就要付費(fèi)。在僵尸網(wǎng)絡(luò)的幫助下，很快就會有成千上萬的僵尸計(jì)算機(jī)點(diǎn)擊這些廣告。更為可觀的是，如果僵尸劫持了計(jì)算機(jī)的首頁，那么用戶每次打開瀏覽器的時候就會自動執(zhí)行這些點(diǎn)擊。網(wǎng)絡(luò)廣告公司為其他公司提供網(wǎng)絡(luò)平臺展示廣告的功能，并且可以借此賺錢。這些公司依賴于點(diǎn)擊的數(shù)量來賺錢。攻擊者可以通過僵尸網(wǎng)絡(luò)點(diǎn)擊這些廣告，這樣很容易就增加了點(diǎn)擊數(shù)，賺取巨大經(jīng)濟(jì)收益。

7．操控在線投票

在線投票受到越來越多的人的關(guān)注，使用僵尸網(wǎng)絡(luò)非常容易操控它們。因?yàn)槊恳慌_僵尸計(jì)算機(jī)都有自己的IP地址，作為一個實(shí)實(shí)在在的人，每一張選票都有同等效力。在不久的將來，這種形式可能會越來越多地被攻擊者所使用，達(dá)到不可告人的政治目的。

8．身份盜取

僵尸網(wǎng)絡(luò)可被用來大量盜取身份信息，目前增長最快的犯罪形式包括網(wǎng)絡(luò)釣魚郵件，它們可通過假冒合法的網(wǎng)站，使用戶透露他們的私人信息。這些網(wǎng)絡(luò)釣魚郵件的發(fā)出都是使用僵尸網(wǎng)絡(luò)的垃圾郵件發(fā)送機(jī)制。這些相似的僵尸計(jì)算機(jī)同樣可以用來模仿各種各樣的合法網(wǎng)站。如Ebay、PayPal或銀行，借此來大量收集個人信息。如果其中一個假冒站點(diǎn)關(guān)閉，馬上又會有新的假冒站點(diǎn)出現(xiàn)。

9．侵占其他僵尸網(wǎng)絡(luò)

僵尸計(jì)算機(jī)通常是由一些敏感信息保護(hù)的，如通道名稱或服務(wù)器密碼。如果一個人能夠獲取這一切信息，他就可以在另外一個僵尸網(wǎng)絡(luò)中升級僵尸，這樣就把其他僵尸網(wǎng)絡(luò)中的僵尸搶過來了。

5.3新型高可靠性Botnet的設(shè)計(jì)思路

5.3.1傳統(tǒng)IRC僵尸網(wǎng)絡(luò)存在的缺陷

IRC僵尸網(wǎng)絡(luò)的泛濫源于它相對簡單的構(gòu)建技術(shù)。然而，IRC結(jié)構(gòu)本身的特點(diǎn)，限制了這種僵尸網(wǎng)絡(luò)的可靠性和有效性：

(1)單點(diǎn)失敗。整個僵尸網(wǎng)絡(luò)依賴于IRC服務(wù)器的中心控制，網(wǎng)絡(luò)健壯性很差，關(guān)閉IRC服務(wù)器即可摧毀整個僵尸網(wǎng)絡(luò)。雖然可用動態(tài)域名解析等技術(shù)增強(qiáng)網(wǎng)絡(luò)的可生存性，但是結(jié)構(gòu)上的單點(diǎn)依賴決定了網(wǎng)絡(luò)的健壯性無法進(jìn)一步提高。

(2)規(guī)模受限。受IRC服務(wù)器軟硬件資源的限制，中心控制點(diǎn)無法承載大規(guī)模的并發(fā)網(wǎng)絡(luò)連接，限制了僵尸網(wǎng)絡(luò)的有效規(guī)模和攻擊力。

(3)明文傳輸。由于IRC協(xié)議通過明文傳輸，故流量比較容易檢測，中心控制服務(wù)器位置和網(wǎng)絡(luò)活動信息容易暴露。IRC僵尸網(wǎng)絡(luò)生存期普遍較短的現(xiàn)象就印證了這一點(diǎn)。5.3.2發(fā)展微型Botnet

發(fā)展微型Botnet的主要目的在于提高Botnet的隱蔽性。我們可以使用規(guī)模較小的、不太引人注意的Botnet，從而避開各種研究機(jī)構(gòu)的安全監(jiān)測體系。

大型的Botnet經(jīng)常被用來發(fā)起拒絕服務(wù)(DoS)攻擊。當(dāng)攻擊者想對一個企業(yè)發(fā)起DoS攻擊時，他會給很多分散的Bot發(fā)送命令，集中起來攻擊受害者。因?yàn)檫@樣會在目標(biāo)環(huán)境中創(chuàng)建多條連接，所以會引起幾乎所有主機(jī)和周邊保護(hù)系統(tǒng)的注意。與大型Botnet利用大量資源去沖擊網(wǎng)絡(luò)發(fā)起拒絕服務(wù)攻擊不同的是，微型Botnet被檢測到的可能性很小。因?yàn)樗鼈冎恍枋褂幂^少的計(jì)算機(jī)，發(fā)送較少的數(shù)據(jù)包，所以它們在避開防火墻的Botnet監(jiān)測以及入侵檢測系統(tǒng)方面更有優(yōu)勢。為了進(jìn)一步避開監(jiān)測，控制Botnet的人還可以通過對自己的微型Botnet進(jìn)行設(shè)置，使得殺毒軟件不能工作、長期潛伏在機(jī)器上，或者不定期地呼叫攻擊者以獲取新命令。沒有能夠監(jiān)測的識別標(biāo)志、沒有不正常行為的模式，這些都使得哪怕是最先進(jìn)的、基于行為的入侵防護(hù)系統(tǒng)都很難注意到微型Botnet。一旦攻破了一個網(wǎng)絡(luò)，微型Botnet可以潛伏一段時間，等待進(jìn)一步的命令或者特定的觸發(fā)事件。大型Botnet需要更好的命令和控制，這樣做可能導(dǎo)致響應(yīng)不正?；蛘弑话l(fā)現(xiàn)，與此不同的是，小型Botnet更加精確，最適合發(fā)起定向的攻擊，特別是對特定數(shù)據(jù)進(jìn)行偷竊時。

微型Botnet能夠比傳統(tǒng)Botnet更有效地搜尋出數(shù)據(jù)。微型Botnet經(jīng)常將多種方法混合來使用，從而獲得敏感數(shù)據(jù)。它們更加謹(jǐn)慎，在探測網(wǎng)絡(luò)時一次只發(fā)送幾個包，能利用受操縱的賬戶搜尋商業(yè)秘密，并且能通過刪除關(guān)鍵的軟件文件使得殺毒軟件失效。5.3.3動態(tài)域名與控制者IP隱藏

采用動態(tài)域名與控制器IP隱藏技術(shù)主要是為了降低控制服務(wù)器暴露的概率，盡量避免中心控制服務(wù)器遭到關(guān)閉或者監(jiān)控。

在動態(tài)域名技術(shù)上，必須經(jīng)常改變僵尸網(wǎng)絡(luò)控制服務(wù)器的域名選擇算法，使Bot連接控制服務(wù)器的行為看起來高度動態(tài)而沒有規(guī)律性，最好能具有某種“偽隨機(jī)”特性，使防御者無法準(zhǔn)確預(yù)測并接管可能的域名。控制者IP隱藏技術(shù)，就是借助代理更改IP地址，來隱藏真正的網(wǎng)絡(luò)控制服務(wù)器或控制者計(jì)算機(jī)IP。這種