僵尸網絡

　　僵尸網絡 Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。

　　攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。之所以用僵尸網絡這個名字，是為了更形象地讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被人利用的一種工具。

　　僵尸網絡概念

　　僵尸網絡 Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。 攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。

　　控制僵尸網絡的攻擊者稱為“僵尸主控機（Botmaster）”。僵尸主控機通過僵尸網絡的命令與控制（Command and Control， C&C）服務器向bot發布命令，C&C充當僵尸主控機和僵尸網絡之間的接口。如果沒有C&C服務器，僵尸網絡將退化為一組無法協同運行的獨立的受惡意軟件入侵的機器。這就是可控性成為僵尸網絡的主要特點之一的原因。

　　2.主要特點

　　根據我們隊僵尸網絡的定義，它主要有以下幾種主要特點： ? 受感染計算機組成的網絡

　　僵尸網絡不僅是對許多計算機的大規模感染，更是一個由受感染計算機組織成的網絡，并且相互之間或者和一個中間實體之間能夠進行通信，并根據指令以協作的方式采取行動。 ? 能遠程調度

　　僵尸網絡必須能夠接收并執行攻擊者或者僵尸主控機發送的命令，并且根據這些指令以協作的方式采取行動。這就是僵尸網絡和其他惡意軟件，例如遠程控制木馬的不同之處。

　　 用來進行惡意活動

　　威脅存在的主要原因是它實施惡意活動，其主要目的是執行攻擊者的指令。

　　3.C&C結構

　　僵尸網絡的C&C結構定義了命令和重要信息是怎樣傳遞到bot的。 ? 集中式 ? 分散式 ? 混合式

　　3.1集中式C&C結構

　　最常見的僵尸網絡C&C結構是集中式的。在這種結構中，僵尸網絡由位于中央位置的C&C進行控制。這意味著僵尸網絡的所有成員都連接到一個發布命令的中央節點。這種結構給僵尸主控機提供了一個很簡單有效的和bot溝通的方法。另外，僵尸主控機可以很輕松的管理集中式C&C。 3.2分散式C&C結構

　　盡管集中式C&C結構有一些優點，比如簡單性和可管理性，但這也是集中式僵尸網絡的最大弊端。集中式C&C是僵尸網絡失效的中心點，阻止訪問C&C或者把它去掉將會使整個僵尸網絡失效。僵尸網絡的惡意軟件仍會繼續工作，但沒有人去控制和用新的命令激活它。

　　分散式C&C結構中，節點既充當服務器也充當客戶端。節點是受害計算機自身，這就消除了僵尸網絡中心點失效的可能。分散式的C&C結構也稱為點對點（P2P）僵尸網絡。 3.3 混合式C&C結構

　　混合式僵尸網絡使用集中式和分散式C&C組合，使用P2P作為它的主要C&C，當連接它的對等點失敗時，它會轉到它備用的C&C，一個使用集中式C&C結構的C&C。

　　4.僵尸網絡的使用

　　Botnet構成了一個攻擊平臺，利用這個平臺可以有效地發起各種各樣的攻擊行為，可以導致整個基礎信息網絡或者重要應用系統癱瘓，也可以導致大量機密或 個人隱私泄漏，還可以用來從事網絡欺詐等其他違法犯罪活動。下面是已經發現的利用Botnet發動的攻擊行為。隨著將來出現各種新的攻擊類 型，Botnet還可能被用來發起新的未知攻擊。

　　拒絕服務攻擊

　　使用Botnet發動DDos攻擊是當前最主要的威脅之一，攻擊者可以向自己控制的所有bots發送指令，讓它們在特定的時間同時開始連續訪問特定的網絡目標，從而達到DDos的目的。由于Botnet可以形成龐大規模，而且利用其進行DDos攻擊可以做到更好地同步，所以在發布控制指令時，能夠使得DDos的危害更大，防范更難。

　　發送垃圾郵件一些bots會設立sockv4、v5 代理，這樣就可以利用Botnet發送大量的垃圾郵件，而且發送者可以很好地隱藏自身的IP信息。

　　竊取秘密

　　Botnet的控制者可以從僵尸主機中竊取用戶的各種敏感信息和其他秘密，例如個人帳號、機密數據等。同時bot程序能夠使用sniffer觀測感興趣的網絡數據，從而獲得網絡流量中的秘密。

　　濫用資源

　　攻擊者利用Botnet從事各種需要耗費網絡資源的活動，從而使用戶的網絡性能受到影響，甚至帶來經濟損失。例如：種植廣告軟件，點擊指定的網站;利用僵尸主機的資源存儲大型數據和違法數據等，利用僵尸主機搭建假冒的銀行網站從事網絡釣魚的非法活動。

　　可以看出，Botnet無論是對整個網絡還是對用戶自身，都造成了比較嚴重的危害，我們要采取有效的方法減少Botnet的危害。

　　僵尸網絡挖礦

　　網絡安全商fortiguard labs的網絡安全研究報告指出，虛擬貨幣的僵尸挖礦ZeroAccess已經成為全球網絡當下主要威脅。ZeroAccess的主要攻擊手段是click fraud和virtual mining，通過控制大量僵尸主機進行挖礦活動，近期由于比特幣等虛擬貨幣的價值飆升，ZeroAccess的獲利可能出乎想象。

　　手機僵尸網絡

　　手機流量總不夠用、自動安裝陌生軟件、彈通知欄廣告，你可能遇到了中國最大的安卓手機僵尸網絡的攻擊。這是一款叫做Android.Troj.mdk的后門程序（簡稱MDK），感染率高達千分之七，總計感染了不少于105萬部智能手機。用戶手機中招后，流量消耗劇增、廣告頻繁彈出、機器變卡變慢，隱私被竊取甚至存在被監聽被跟蹤的隱患。

　　惡意廣告作者將正常的游戲應用，流行應用進行重新打包，然后再發布到市場，由于帶有正常游戲或正常應用功能因此用戶很難發現問題 ，并有可能會將游戲推薦給你身邊的朋友。同時，惡意廣告作者會進行后臺刷榜，一提升用戶熱度，從而用戶將流失流量。

　　5研究方法

　　對于目前比較流行的基于IRC協議的Botnet的研究方法，主要使用蜜網技術、網絡流量研究以及IRC Server識別技術。 使用蜜網技術

　　蜜網技術是從bot程序出發的，可以深入跟蹤和分析Botnet的性質和特征。主要的研究過程是，首先通過密罐等手段盡可能多地獲得各種流傳在網上的bot程序樣本；當獲得bot程序樣本后，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的屬性，如Botnet服務器地址、服務端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用戶名稱，這些信息都為今后有效地跟蹤Botnet和深入分析Botnet的特征提供了條件。在具備了這些條件之后，使用偽裝的客戶端登錄到Botnet中去，當確認其確實為Botnet后，可以對該Botnet采取相應的措施。 網絡流量研究

　　網絡流量的研究思路是通過分析基于IRC協議的Botnet中僵尸主機的行為特征，將僵尸主機分為兩類：長時間發呆型和快速加入型。具體來說就是僵尸主機在Botnet中存在著三個比較明顯的行為特征，一是通過蠕蟲傳播的僵尸程序，大量的被其感染計算機會在很短的時間內加入到同一個IRC Server中；二是僵尸計算機一般會長時間在線；三是僵尸計算機作為一個IRC聊天的用戶，在聊天頻道內長時間不發言，保持空閑。將第一種行為特征歸納為快速加入型，將第二、三種行為特征歸納為長期發呆型。

　　研究對應這兩類僵尸計算機行為的網絡流量變化，使用離線和在線的兩種分析方法，就可以實現對Botnet的判斷。 IRC技術

　　通過登錄大量實際的基于IRC協議的Botnet的服務器端，可以看到，由于攻擊者為了隱藏自身而在服務器端刻意隱藏了IRC服務器的部分屬性。同時，通過對bot源代碼的分析看到，當被感染主機加入到控制服務器時，在服務器端能夠表現出許多具有規律性的特征。通過對這些特征的歸納總結，就形成了可以用來判斷基于IRC協議的Botnet的服務器端的規則，這樣就可以直接確定出Botnet的位置及其規模、分布等性質，為下一步采取應對措施提供有力的定位支持。

　　以上三種研究方法都是針對基于IRC協議的Botnet。對于P2P結構的Botnet的研究較少，原因是由于其實現比較復雜，在網絡中并不占有太大比例，同時也因為其在控制方式上的分布性使得對它的研究比較困難。但隨著Botnet的發展，對于P2P結構的Botnet的研究也將進一步深入。

　　新型僵尸網絡的特點

　　近年來，一些主要的僵尸網絡在互聯網上都變得更加令人難以琢磨，以更加不可預測的新特點來威脅網絡安全。僵尸網絡操縱地點也比以前分布更廣。它們采用新技術提高僵尸網絡的的運行效率和靈活機動性。很多合法網站被僵尸網絡侵害，從而影響到一些企業的核心競爭力。

　　最新型的僵尸網絡攻擊往往采用hypervisor技術。hypervisor技術是一種可以在一個硬件主機上模擬躲過操作系統的程序化工具。hypervisor可以分別控制不同主機上的處理器和系統資源。而每個操作系統都會顯示主機的處理器和系統資源，但是卻并不會顯示主機是否被惡意服務器或者其他主機所控制。

　　僵尸網絡攻擊所采用的另外一種技術就是Fast Flux domains。這種技術是借代理更改IP地址來隱藏真正的垃圾郵件和惡意軟件發送源所在地。這種技術利用了一種新的思想：被攻陷的計算機僅僅被用來當作前線的代理，而真正發號施令的主控計算機確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機的IP地址，真正竊取數據的計算機在其他地方。代理主機沒有日志、沒有相關數據、沒有文檔記錄可以顯示攻擊者的任何信息。最為精巧的地方在域名服務這部分，一些公司為了負載平衡和適應性，會動態地改變域名所對應的IP地址，攻擊者借用該技術，也會動態地修改Fast-Flux網絡的IP地址。

　　而最為眾人所知的技術莫過于P2P了。比如，Nugache僵尸網絡就是通過廣泛使用的IM工具點對點來實現擴充，然后使用加密代碼來遙控指揮被感染主機。那也就意味著這種方式更加令人難以探測到。而且僵尸網絡也比較傾向使用P2P文件共享來消除自己的蹤跡。

　　無論是使用Fast Flux、P2P還是hypervisor技術，僵尸網絡所使用的攻擊類型都比以前變得更加復雜多樣。顯然，僵尸網絡威脅一直在不斷地增長，而且所使用的攻擊技術越來越先進。這就需要我們使用更加強大的安全防護工具來保護個人和公司網絡的安全。

　　僵尸網絡的危害

　　隨著僵尸網絡的不斷滲透和擴散，公司必須比以往更加重視和了解邊界安全。為此，公司不僅需要了解僵尸網絡的功能和運行機制，也需要了解它們所帶來的安全威脅。

　　對僵尸網絡非法入侵做出快速有效的響應，對企業來說可能是一項最為緊迫的挑戰。不幸的是，光靠利用基于簽名的技術來消除這些安全威脅是遠遠不夠的。使用這種技術往往會花費數小時甚至是數天時間，才能檢測到僵尸網絡并對其做出響應。僵尸網絡最容易吸引各類高科技網絡犯罪分子，他們可以借助僵尸網絡的溫床醞釀和實施各種網絡攻擊和其他非法活動。

　　僵尸網絡的所有者會利用僵尸網絡的影響力對企業展開有針對性的攻擊。除了分布式垃圾郵件和攻擊電子郵件數據庫之外，他們還會發動分布式拒絕服務攻擊。僵尸網絡越來越喜歡利用竊取企業財務信息或者商業機密，進而對企業進行敲詐勒索和追逐其他利益活動。 另外，他們還可以利用企業與企業之間的網絡互聯或者其他同行合作伙伴來擴大攻擊。這也就是為什么企業已經成為僵尸網絡重點攻擊的受害群體之一的重要原因。

　　當僵尸網絡獲得訪問公司網絡的權限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數據。這樣一來，不僅嚴重危害了客戶的私人利益，也損害了公司的寶貴資源和企業形象，從而對企業造成致命創傷。