僵尸电脑(Bot,Zombie)是被入侵且受控制的电脑、俗称“僵尸”或“傀儡”,起源于聊天软件IRC中的自动回话机器人软件(robot)。
僵尸网络(Botnet)是一群被bot master控制的僵尸电脑(bots),又称“傀儡网络”。
IRC:Internet Relay Chat Protocol是一个“线上多人聊天室”,TCP port是6667。
IRC成为木马之间的沟通管道,木马会自动连上特定的IRC服务器,成为bot,自动听取主人经由IRC所下的命令并执行。
Botnet依照命令与控制(Command and Control,C&C)传输模式一般可分为:
集中式(Centralized) 有专门的服务器来传输C&C。C&C服务器已IRC服务器居多。 点对点(P2P) 没有专门的服务器来传输C&C。除了自行设计P2P外,也可以使用现成的P2P协定,例如:Phatbot使用Gnutella(p2p protocol)。如何靠经营Botnet来盈利:
贩卖从被害者偷来的资料。提供DDoS租赁服务。提供代发垃圾邮件租赁服务。发动网络战争。目的都是要将Bot程序植入受害主机里。
入侵有弱点的主机扩散零日攻击时期(Zero-Day Period,ZDP):当一个系统弱点被发现之后,在恶意程序出台到补丁(patch)或防毒软件特征码(signatures)出现之前的这一段时间。
有此弱点的设备在ZDP期间毫无防御能力。过了ZDP之后,如果有此弱点的设备没有上对应的补丁,或是防御程序没有更新到相对的特征码,依然是毫无防御能力。
社交工程扩散
欺骗受害者点击URL下载Bot并执行,受害者点击网址后,可能经过层层转址(Redirect)后把恶意程序下载下来执行。
欺骗受害者输入账号或密码,贩卖用户信息或去别的系统尝试相同的账号/密码。
如何侦测网络中的僵尸电脑:
做流量分析,研究C&C通讯流量。找到C&C连线,找到Bot的网络异常行为,如SPAM,DDoS等,进行交叉比对。直接针对某类型的Bot程序做主机扫描。成为Botnet的一份子与刺探军情: 直接执行Bot恶意程序,看它跟谁联络。故意使用有弱点的主机引诱入侵者。同时侦测所有流量来分析。侦测Botnet,可以根据已知的Botnet C&C通讯流量特征过滤流量,了解入侵手法,还可以把恶意的IP网址清单写入防火墙。
Botnet侦测上的困难:
C&C连线加密。架构为P2P或随意架构。伪装成别的通信协议,例如:HTTP port 80(浏览网页)。想了解更多关于计算机网络架构与网络安全:计算机网络架构与网络安全专栏
