僵⼫⽹络模型分析及解决⽅案
僵⼫⽹络的攻击要素
下图显⽰了⼀个典型的僵⼫⽹络结构
攻击者⾸先会散布⽊马病毒感染⼤量的主机,然后这些主机就成为了所谓的僵⼫然后与IRC(系统,Internet Relay Chatting)服务器连接获取进⼀步的指令。
IRC服务器既可以是IRC⽹络中的单台公⽤计算机也可以是攻击者处⼼积虑设置在受威胁计算机上的⼀个服务器。僵⼫在受威胁的计算机上运⾏,这样就形成了⼀个僵⼫⽹络。
典型案例
攻击者的⾏动可以分裂为以下四步:
⽣成、配置、感染、控制
⽣成步骤很⼤程度上依赖于攻击者的能⼒和要求。 会决定是否采⽤⾃⼰编写的僵⼫代码或是仅对现存的代码作简单的修改。在现实的⽣活中,有⼤量的现成的僵⼫。使⽤图形操作界⾯显得更为简单。难怪有⼤量的初学者就选择了这样⼀条简单之路。
在配置阶段主要包括提供IRC服务器和通道信息。⼀旦被安装到受威胁的计算机中,僵⼫计算机就会连接到指定的主机。攻击者⾸先会输⼊必要的数据来限制僵⼫计算机的访问权限,保证渠道最终提供授权⽤户的清单(这些⼈可以控制僵⼫⽹络)。在这⼀步骤中,僵⼫就会带有典型的特征,例如会定义关于攻击⽬标和攻击形式的⼀些问题。
在感染阶段,主要是使⽤不同的技术来传播僵⼫——直接⼿段或是间接⼿段。直接⼿段包括利⽤操作系统或是服务的 。间接⼿段就是使⽤⼀些 ,例如使⽤恶意的HTML⽹页对IE浏览器的漏洞进⾏攻击,使⽤点对点⽹络或是直接的客户点对点的⽂件传输来发布恶意软件。直接攻击⼀般都⾃动的伴有蠕⾍病毒。蠕⾍的任务就是寻⼆级⽹络的系统相关漏洞然后感染僵⼫代码。受感染的系统接着继续这样⼀个过程,这样攻击者就免去了花费⼤量时间来寻新的受害者。
在发布僵⼫⽹络中所应⽤的机制是所谓的英特⽹背景噪⾳的重要原因。这些主要的端⼝分布在Windows中,特别是Windows2000和XP SP1,它们似乎是⿊客们最钟情的⽬标,因为他们很容易就可以到未下载补丁的Windows计算机,有些情况下,这些计算机连防⽕墙都省了。在家庭⽤户和⼩企业中很普遍,这些⼈往往忽视安全问题,并且宽带连接⼀直⼤敞。
玫瑰花酒表⼀ 与漏洞服务相关的端⼝
在控制步骤主要是指僵⼫在指定的主机内⽣根之后⼀些事情。为了突破Windows,它会升级注册表,
⼀般是
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
僵⼫⽹络安装后的第⼀件事情就是与IRC服务器取得联系然后在密码的帮助下成功进⼊控制渠道。IRC上的昵称是随机产⽣的。僵⼫计算机然后就会接受来⾃于主机应⽤程序的命令。攻击者必须使⽤密码链接僵⼫⽹络。这是必须的,因此外⼈不可能使⽤这⼀僵⼫⽹络。
僵⼫⽹络
僵⼫⽹络不仅提供控制数百台僵⼫计算机的⽅法,还会提供相应的技术来隐藏其真实⾝份。这样就使得攻击来源模糊化难以侦查。对于我们来说很幸运的是,僵⼫⽹络有其⾃⾝⽆法避免的弱点,就是其产⽣的异常流量很容易就被发现。这样,IRC的管理员就可以将僵⼫⽹络拒之门外并且对相关⽤户做出通报。
⾯对形势的变化,攻击者不得不提⾼他们的控制和命令技巧,这样就出现了僵⼫⽹络萃取。僵⼫使⽤动态的映射⽤户名配置到不同的主机上。藉此,攻击者可以轻易的将僵⼫配置到新的服务器上,保证即时在被发现之后还能够运转⾃如。⼀些动态的域名服务器就是为此应运
⽽⽣的,诸如dyndns,no–ip。
动态域名服务器
动态域名服务器(RFC 2136)将域名链接到⼀个动态的IP地址上。通过调制解调器,ADSL以及光纤上⽹的⽤户根本就没有⼀个固定的域名。⼀旦⽤户联⽹,英特⽹服务提供商就会从⼀个IP库中随意分配⼀个未经使⽤的IP地址。当然,这⼀地址只会在那台计算机的上⽹的那段时间中保留。
这⼀机制使ISP们最⼤限度的利⽤现有的IP库,但是这样损害了那些需要静态域名的⽤户的利益。为了解决这⼀问题,动态域名系统应运⽽⽣。ISP们实现此⽬的的⼀个⼿段是使⽤⼀个精⼼设计的程序,就是每当⽤户的IP地址转换的时候,它就会对DNS数据库做出标记。
为了隐藏这⼀⾏为,IRC渠道设计的时候就限制了访问并且隐藏⾏为。典型的僵⼫⽹络渠道的IRC模式有以下:+k(访问时需要密码),+s(渠道不会出现在公众⽹络渠道⾥),+u(只有操作员在⽤户名单⾥可见),+m(只有使⽤+v语态地位的⽤户才可以进⼊这⼀渠道)。许多专业的⿊客使⽤的是特制的IRC服务器加密所有在通讯中的相关交流。还有⼀个趋势就是他们使⽤各种个性化的IRC服务器软件,可以⽤来窃听⾮标准端⼝或是使⽤改进版的通讯协议,这样普通的IRC客户机就不能进⼊这⼀⽹络。
实践中的命令与控制——Agobot
我们先来看⼀下⼀个实际的攻击场景,这样我们就可以更清晰的了解僵⼫⽹络的命令与控制操作的
相关过程。这⼀任务包括两台计算机。第⼀台计算机在⼀台基于UnrealIRCd 3.2.3上使⽤的IRC服务器,还有两台基于Vmware⼯作站的虚拟的Windows XP SP1机器(都存在潜在的感染风险)。第⼆台由僵⼫牧者操控僵⼫⽹络,实⽤的是Irssi,⼀个原原本本的IRC客户机。
为了使这⼀发⼯程学更加困难,Agobot执⾏⼀些常规的反制措施,包括SoftICE or OllyDbg调试器的使⽤,并且针对虚拟的Vmware 和Virtual PC也做出了应对措施。因此就有必要劫持源代码绕开Vmware的保护,在僵⼫被安装到我们虚拟的系统之前。
配置
第⼀步就是使⽤简单的图形操作界⾯配置僵⼫(见下图)。输⼊的信息包括名称和IRC服务器的端⼝,通道名称,拥有密码的管理员的清单,最后,僵⼫将要侵袭的⽂件名和⽬录。⼀些插件也需要激活,诸如⽹络嗅探⽀持还有多形态引擎。这⼀步骤的结果就是config.h⽂件夹,这是僵⼫⽹络编辑的根本。
Agobot配置操作界⾯签证办理
命令与控制
⼀旦僵⼫被编辑成功,这两台测试系统就被感染了。主机已经连接上IRC服务器然后就会进⼊这⼀渠道为了能够对僵⼫做出操作命令⾏。
主服务器和通道链接
为了对僵⼫进⾏有效控制,授权是必须的。这⼀步很简单,发⼀个命令到通道中即可:.login FaDe dune
⽤户和密码授权
然后第⼀个僵⼫被要求在被感染的计算机上运⾏⼀系列的进程:/msg FakeBot–wszyzc .pctrl.list
来⾃于僵⼫计算机对主机的回应
然后第⼆台僵⼫被要求寻系统信息并且cdkeys所有的安全程序:
我不配歌词 /msg FakeBot2–emcdnj .bot.sysinfo
/msg FakeBot2–emcdnj .harvest.cdkeys
来⾃于第⼆台僵⼫计算机对主机的回应
在这⼀例⼦中,我们使⽤了⼀个很简单的功能,但是Agobot提供了很丰富的命令和功能,下表做了⼀些列举:
表⼆ Agobot的⼀些命令
平潭岛好玩吗如何保护你的计算机
以下,我们将阐述如何从⽤户和管理员两个维度有效的防⽌僵⼫的感染及其攻击
PC⽤户的防御策略
前⾯提到僵⼫的感染主要是通过蠕⾍,它们游荡在⽹络之中寻有漏洞的机器。因此第⼀步就是实时升级你的系统,下载补丁和系统补丁,不仅仅是你的操作系统还有你所有与⽹络相联系的应⽤程序。
⾃动升级是⼀个不错的主意。还有要注意不要打开可疑邮件。
不要浏览⽀持ActiveX和JavaScript的脚本语⾔(⾄少要控制其使⽤)。
最根本的就是要使⽤反病毒和反⽊马软件并且实时更新。尽管如此,许多僵⼫仍然会突破杀毒软件的阻截,因此需要安装个⼈防⽕墙,特别是电脑⼀天24⼩时都开着的话。
僵⼫⽹络出现的重要标志就是⽹络连接和系统下载。下⾯是⼀个简单有效的探测可疑链接的⽅法:C:/>netstat –anDNF鬼泣用什么武器
在感染系统中的Netstat
Netstat
Netstat对于Windows和Unix操作系统都很有效,它的主要功能就是控制活跃端⼝,Netstat检查TCP和UDP端⼝并且提供关于⽹络活动的详细信息。UNIX系统netstat显⽰所有的流量信息。同样哈有关于出流量的选择,
⼀些可能的连接状态:
· ESTABLISHED –所有的主机均连接
· CLOSING 远程主机正关闭连接
· LISTENING –主机进⼊监听连接
· SYN_RCVD –远程主机请求连接
· SYN_SENT –主机开始新的连接
· LAST_ACK –关闭连接之前发送报告
· TIMED_WAIT, CLOSE_WAIT –远程主机终⽌连接
· FIN_WAIT 1 –客户机终⽌连接
我欠你一个拥抱 · FIN_WAIT 2 –两台主机终⽌连接
观察ESTABLISHED连接特别是6000–7000之间的TCP端⼝(通常是6667)。如果你发现你的计算机受到威胁,断开⽹络,清除系统,重启,再检查⼀遍。
管理员防御策略
管理员应该实时关注最新漏洞信息,多读⼀些⽹络安全信息。可以订阅Bugtraq,这个很不错。还有就是要教育⽤户以及制定相关安全政策。
管理员很有必要学⼀下与 检测系统,防⽕墙,电⼦邮件服务器还有代理服务器⽣成的⽇志。这有助于查明不正常流量,很可能就是僵⼫⽹络现⾝的标志。⼀旦注意到⼀场流量,使⽤嗅探器侦查来确认⼦⽹罗以及产⽣这⼀流量的计算机。上述建议你会认为理所当然,但是却很容易被忽略。
还有⼀点就是使⽤先进的⼿段研究和侦查威胁。其中⼀个技术就是蜜罐技术。蜜罐就是专门设置引诱威胁的计算机,其主要功⽤就是搜集威胁的来源然后管理员就会出解决问题的办法。
最后,姑且不论我们的 和建议,最有效的防御僵⼫⽹络的⽅法就是⽤户本⾝及其警觉性。其它⼀切解决⽅案都只是外部因素。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论