談國內僵尸網絡的現狀與發展

　　一、引言

　　近年來隨著金錢的不段誘惑，和體內荷爾蒙的過多分泌，造成很多技術性天才做著一夜暴富的春秋大夢，越來越多的黑色產物不斷的誕生，從2003年國外某安全團隊第一時間發現sql注射漏洞之后，到2004年國內幾個天才高手開發出第一款NBSI國內第一款全自動后臺掃描注入工具的誕生，隨之而來的是更多的國內外網站被入侵，從國外的一份安全報告上來看，NBSI已經成為了國外檢查相關站點進行滲透攻擊測試的最有力武器，國人的偉大的智商讓國外的黑客團隊都大為欽佩，也算是洗刷了國外一直對我國黑客稱之為腳本猴子的前恥，2006年的“熊貓燒香”，這個世界第一毒王的誕生，網絡上一直傳言著李俊靠這個代碼獲取了高達千萬的巨額資金，在這里我是成否定態度的，這樣的代碼就是在黑色交易下面也不過幾千塊人民幣而已，因為從整個的病毒源代碼來看，李俊本人的編碼水平并不能算高明，更多的來看就是一些網絡上公布的源代碼的摘抄，整個病毒就是一個代碼堆疊。但是也因為國人缺乏安全意識而中招，成為了一些專業刷流量賺取國外廣告費用的黑色產業鏈里面另一黑色經濟組織的青睞。由于黑色經濟的影響，造就了全世界到處都是“硝煙彌漫”，瘋狂的蠕蟲、討厭的垃圾郵件、陰險的網絡釣魚、可惡的間諜軟件，還有防不甚防的拒絕服務攻擊天天都出現在我們越來越賴以生存的互聯網中。大量的安全人士投入到與它們的斗爭中，也提出了相當多的防范治理措施，研究工作日趨深入。但這些威脅并沒有得到有效的控制，反而在技術上安全工作者面臨了更多更大的挑戰，造成這種現象的一個重要原因，是危害制造者開始采用一些既能保護、隱藏自身，又能更加高效地實施這些攻擊的方法，僵尸網絡就是其中之一。

　　僵尸網絡(英文名稱：Botnet)，有別于以往簡單的安全事件，它是一個具有極大危害的攻擊平臺。利用該平臺，攻擊者能夠發起各種各樣的破壞行為，由于平臺的搭建使得這些破壞行為產生聚合，造成比傳統破壞行為更大的危害，并且使得攻擊的防范難度增大。僵尸網絡將攻擊源從一個轉化為多個，乃至一個龐大的網絡體系，通過網絡來控制受感染的系統，同時不同地造成網絡危害，如更快地傳播蠕蟲、短時間內竊取大量敏感信息、搶占系統資源進行非法目的牟利、發起大范圍的DDoS攻擊等，受控網絡的存在，給危害追蹤和損失抑制帶來巨大的麻煩，這也就是僵尸網絡迅速發展的原因。

　　目前，僵尸網絡已經成為國內乃至全世界的網絡安全領域最為關注的危害之一。

　　二、僵尸網絡的原理和危害

　　(一)基本概念：

　　Bot：機器人(Robot)的縮寫，是一段可以自動執行預先設定功能，可以被控制，具有一定人工智能的程序。通常帶有惡意代碼的Bot被秘密植入受控計算機，主動連接服務器接受控制指令，并依照指令完成相應功能。

　　Zombie：被包含惡意代碼的Bot感染或能被遠程控制的計算機，又名僵尸計算機。

　　IRCBot：利用IRC協議進行通信和控制的Bot。通常，IRCBot連接預定義的服務器，加入到預定義的頻道中，接收經過認證的控制者發出的命令，執行相應的操作。運用IRC協議實現Bot、服務器和控制者之間的通信和控制具有很多優勢，因此目前絕大多數的Bot都基于IRC協議。

　　Command & Control Server：IRCBot連接的IRC服務器稱為命令和控制服務器，控制者通過該服務器發送命令，進行控制。

　　Botnet：僵尸網絡，由大量能夠實現惡意功能的Bot、Command &ControlServer和控制者組成，能夠受攻擊者控制的網絡。攻擊者在公開或秘密的IRC服務器上開辟私有的聊天頻道作為控制頻道，僵尸程序中預先已經設定好這些信息，當僵尸計算機運行時，僵尸程序就自動搜索并連接到這些控制頻道，接收頻道中的所有信息，這樣就構成了一個IRC協議的僵尸網絡。攻擊者通過IRC服務器，向整個僵尸網絡內的受控節點發送控制命令，操縱這些“僵尸”進行破壞或者竊取行為。通常頻道設置為隱秘并加上密碼防止非Bot用戶進入，如圖-1所示。除了IRC僵尸網絡外，還存在一些其他的僵尸網絡，如：

　　AOLBot：登陸到特定的AOL服務器等待控制者發送指令。AIM-Canbot和Fizzer就采用這種方式。

　　僵尸程序

　　可以通過木馬、蠕蟲進行傳播。通常表現為在蠕蟲體內包含Bot，當蠕蟲成功感染計算機時，就釋放出Bot；或者當木馬、蠕蟲成功侵入電腦后，從網上下載惡意Bot到本地主機。僵尸程序與蠕蟲最大的區別就在于蠕蟲具有主動傳播性，另外蠕蟲的攻擊行為不受人控制，而相反僵尸程序的存在就是為了使得攻擊者能夠控制受感染的電腦。

　　僵尸程序

　　和木馬有著功能的相似性——遠程控制計算機，但在功能實現上略有區別，僵尸程序都能突破內網和防火墻限制，這是傳統正向連接的木馬無法比擬的。僵尸程序使用特有的IRC協議下的DCC命令或者其他載體進行傳播，由于預設指令的存在，傳播過程更顯主動，且受感染的電腦仍受控制，這也比木馬高明些。

　　間諜軟件被用來竊取用戶敏感信息，而僵尸程序也能實現這一功能，還能下載間諜軟件到受影響主機。

　　類型 \ 特點傳播性可控性竊密性危害性

　　僵尸程序

　　(Bot)可控傳播高度可控有完全控制遠程計算機

　　蠕蟲

　　(Worm)主動非受控傳播不可控無占用主機和網絡資源

　　木馬

　　(Trojan Horse)干預傳播可控有完全控制遠程計算機

　　干預傳播不可控無破壞文件

　　間諜軟件(Spyware)負載傳播不可控嚴重竊密竊取信息

　　目前最常見的僵尸網絡都是基于IRC協議的，這個應用層協議給人們提供了一個IRC的服務器和聊天頻道進行相互的實時對話。IRC協議采用C/S模式，用戶可以通過客戶端連接到IRC服務器，并建立、選擇并加入感興趣的頻道，每個用戶都可以將消息發送給頻道內所有其他用戶，也可以單獨發給某個用戶。頻道的管理員可以設置頻道的屬性，比如設置密碼、設置頻道為隱藏模式。

　　攻擊者通常編寫自己的IRCBot，它只支持部分IRC命令，并將收到的消息作為命令進行解釋執行。編寫好僵尸程序，建立起自己的IRC服務器后，攻擊者會采用不同的方式將僵尸程序植入用戶計算機，例如：通過蠕蟲進行主動傳播、利用系統漏洞直接侵入計算機、利用社會工程學，通過電子郵件或者即時聊天工具，欺騙用戶下載并執行僵尸程序、利用IRC協議的DCC命令，直接通過IRC服務器進行傳播、還可以在網頁中嵌入惡意代碼等待用戶瀏覽，2004年CNCERT\CC發現了1700多個網頁利用此類技術欺騙誘惑用戶訪問而植入惡意程序。

　　當Bot在被感染計算機上運行后，以一個隨機的Nickname和內置密碼連接到特定的IRC服務器，并加入指定的頻道。攻擊者隨時登陸該頻道，并發送認證消息，認證通過后，隨即向活躍的僵尸程序(或者暫時非活躍的僵尸程序)發送控制指令。Bot讀取所有發送到頻道的消息或者是頻道的標題，如果是已通過認證的攻擊者的可識別的指令，則立即執行。

　　通常這些指令涉及更新Bot程序、傳輸或下載指定文件、遠程控制連接、發起拒絕服務攻擊、開啟代理服務器等等。

　　隨著Bot大范圍的快速傳播，攻擊者漸漸將原本不相關的計算機聯系起來，通過預設的僵尸程序的指令，連接到指定的IRC服務器，接受攻擊者的控制，形成一個龐大的網絡體系，這就是僵尸網絡的初步形成。而后由這個平臺發起更多的、更加隱秘的擴展入侵行為。

原文轉自：http://www.anti-gravitydesign.com