一.什么是僵尸网络
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
二.僵尸网络是如何出现的
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行账户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。下载时只用一种杀毒软件查不出来。
专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动。多数时候,僵尸电脑的主人根本不晓得自己已被选中,任人摆布。
僵尸网络之所以出现,在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
网络专家称:“重要的硬件设施虽然非常重视杀毒、防黑客,但网络真正的安全漏洞来自于住家用户,这些个体户欠缺自我保护的知识,让网络充满地雷,进而对其他用户构成威胁。”
三.僵尸网络发展过程
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。
2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。
从良性bot的出现到恶意bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。
四.僵尸病毒的攻击方式
1.主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。
2.邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
3.即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
4.恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
5.特洛伊木马。伪装成有用的软件,在网站、FTP服务器、P2P 网络中提供,诱骗用户下载并执行。
五.僵尸病毒防御方法
1.使用蜜网技术
蜜网技术是从bot程序出发的,可以深入跟踪和分析Botnet的性质和特征。蜜网有着三大核心需求:即数据控制、数据捕获和数据分析 。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到Botnet中去,当确认其确实为Botnet后,可以对该Botnet采取相应的措施 。
2.网络流量研究
网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸计算机一般会长时间在线;三是僵尸计算机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第一种行为特征归纳为快速加入型,将第二、三种行为特征归纳为长期发呆型
六.德迅云安全的德迅猎鹰(云蜜罐)
德迅猎鹰(云蜜罐)功能
1.仿真诱捕
高交互蜜罐是德迅猎鹰(云蜜罐)的核心能力之一,是其成功实现攻击诱导、保护真实资产的重要基础。高交互蜜罐不仅具备完整操作系统的正常交互响应,在此基础上部署的仿真业务系统及漏洞,更让蜜罐具有足够的诱惑性,同时,由于高交互蜜罐系统不应该承载真实业务,因此发现的任何流量都可认为是恶意行为,这样能大幅提升威胁发现、跟踪能力。更进一步地,通过将多个高交互蜜罐组成蜜网,让攻击者误以为进入真实业务环境,殊不知所有的行为均被一一记录和监视。
仿真业务系统交互响应及漏洞,保护真实资产,拖延攻击时间。新增30+种蜜罐类型、新增蜜罐内置漏洞。
2.感知报警
支持数据推送实现消息联动,可以将蜜罐平台所记录的黑客威胁数据字段根据需要利用SYSLOG推送到其它安全可视化平台上。这样就提供了足够的威胁情报数据分析的来源日志,并且实现与其他第三方设备联动的优势,可准确发现攻击并报警。新增攻击日志聚合分析报警事件。
3.威胁处置
主打威胁处置闭环,具有包括黑客定位、失陷主机定位、威胁报警、攻击阻断、攻击隔离、流量转发、情报提取并上报等不少于21种威胁处置方法。新增自动阻断功能、威胁隔离策略,无需联动第三方阻断产品的情况下也可以实现威胁阻断。
4.散布诱饵
散布配置敏感IP或高诱捕性子域名的蜜罐,使攻击捕获概率大大提升。新增邮件诱饵、文件诱饵。
5.攻击回放
以视频等形式呈现黑客攻击全记录,还原攻击者在Windows蜜罐、Linux蜜罐主机中的攻击过程。新增态势大屏,以拓扑图+攻击路线的方式回放攻击路线。
6.威胁情报
不少于82种维度对黑客身份进行分析,结合创宇安全智脑以IP维度生成画像,包括真实 IP、内网失陷主机信息、虚拟身份、设备指纹等信息。新增功能包括内网失陷主机定位、全网威胁情报溯源、高精地理位置定位等。
7.多场景部署
云蜜罐模式,支持子域名一键接入云端,快速部署海量蜜罐。无需额外安装部署,只需将子域名解析到云端蜜场,即可部署网站蜜罐。
云端蜜罐资源可快速调整,使得蜜罐可以根据用户的使用压力随时扩容。
客户端轻量部署,仅包含数据转发与攻击感知的功能,使得客户端占用资源极少,十几秒即可部署成功,可在较低配置的服务器上运行。
客户端无侵入部署,不需要在现有的业务服务器上安装软件,不会对现有的业务造成影响。
客户端支持多网卡,支持虚拟多张网卡,使得硬件资源得以最大化利用。
适用于内网、网站域名、公有云、私有云等多种部署场景。
8.威胁可视化
风险大盘直观展示统计汇总数据,黑客画像立体化呈现黑客信息。新增态势大屏,实时展示蜜罐部署拓扑与攻击情况,蜜罐状态与攻击数据一览无余
德迅猎鹰(云蜜罐)特色
1.1分钟快速构建内网主动防御系统:无侵入、轻量级的软件客户端安装,实现网络自动覆盖可快速在企业内网形成蜜网入口,轻松排兵布阵。
2.Web蜜罐配套协议蜜罐,以假乱真延缓攻击:多种真实蜜罐和服务形成的蜜罐系统,使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。
3.隐密取证,抓获自然人:通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像,提供完整攻击信息,为溯源、抓捕攻击者提供有效依据。
4.转移战场,高度内网安全保障:将攻击流量引出内网转移战场到SaaS蜜网环境,并从网络隔离、流量单向控制等维度配置安全防护系统,保证系统自身不被攻击者识别和破坏。
5.捕获0day攻击等高级新型威胁:蜜网流量纯粹,无干扰流量,基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。
6.安全专家服务一键接入:德迅云安全蜜罐管理平台由专家团队监控维护,一旦发现安全风险,及时分析预警,配合客户进行应急响应
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。