⑴ 電腦中了僵屍網路怎麼辦
僵屍網路防禦方法
如果一台計算機受到了一個僵屍網路的DoS攻擊,幾乎沒有什麼選擇。一般來說,僵屍網路在地理上是分布式的,我們難於確定其攻擊計算機的模式。
被動的操作系統指紋識別可以確認源自僵屍網路的攻擊,網路管理員可以配置防火牆設備,使用被動的操作系統指紋識別所獲得的信息,對僵屍網路採取行動。最佳的防禦措施是利用安裝有專用硬體的入侵防禦系統。
一些僵屍網路使用免費的DNS託管服務將一個子域指向一個窩藏「肉雞」的IRC伺服器。雖然這些免費的DNS服務自身並不發動攻擊,但卻提供了參考點。清除這些服務可以破壞整個僵屍網路。近來,有些公司想方設法清除這些域的子域。僵屍社團將這種路由稱之為「空路由」,因為DNS託管服務通常將攻擊性的子域重新定向到一個不可訪問的IP地址上。
前述的僵屍伺服器結構有著固有的漏洞和問題。例如,如果發現了一個擁有僵屍網路通道的伺服器,也會暴露其它的所有伺服器和其它僵屍。如果一個僵屍網路伺服器缺乏冗餘性,斷開伺服器將導致整個僵屍網路崩潰。然而,IRC伺服器軟體包括了一些掩飾其它伺服器和僵屍的特性,所以發現一個通道未必會導致僵屍網路的消亡。
基於主機的技術使用啟發式手段來確認繞過傳統的反病毒機制的僵屍行為。而基於網路的方法逐漸使用上述技術來關閉僵屍網路賴以生存的伺服器,如「空路由」的DNS項目,或者完全關閉IRC伺服器。
但是,新一代的僵屍網路幾乎完全都是P2P的,將命令和控制嵌入到僵屍網路中,通過動態更新和變化,僵屍網路可以避免單個點的失效問題。間諜軟體可以將所有可疑的口令用一種公鑰「硬編碼」到僵屍軟體中。只能通過僵屍控制者所掌握的私鑰,才能讀取僵屍網路所捕獲的數據。
必須指出,新一代僵屍網路能夠檢測可以分析其工作方式的企圖,並對其作出響應。如大型的僵屍網路在檢測到自己正在被分析研究時,甚至可以將研究者從網路中斷開。所以單位需要專業的僵屍網路解決
僵屍網路解決方案
好消息是在威脅不斷增長時,防禦力量也在快速反應。如果你是一家大型企業的負責人,你可以使用一些商業產品或開源產品,來對付這些威脅。
首先是FireEye的產品,它可以給出任何攻擊的清晰視圖,而無需求助於任何簽名。FireEye的虛擬機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網路節點,阻止其與客戶端網路的通信。這使得客戶的IT人員在FireEye發現僵屍網路攻擊時就可以採取行動,然後輕松地重新構建被感染的系統。在網路訪問不太至關重要時,可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網路。這家公司的Failsafe解決方案能夠確認企業網路內的受損害的主機,而無需使用簽名技術或基於行為的技術。此外,SecureWorks和eEye Digital Security也擁有自己對付僵屍網路的專用技術。
著名的大型公司,如谷歌等,不太可能被僵屍網路擊垮。其原因很簡單,它們主要依賴於分布式伺服器。DDoS攻擊者將不得不征服這種全球性的分布式網路,而這幾乎是不太可能的,因為這種網路可以處理的數據量可達每秒鍾650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊,如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。
不過,由於DDoS攻擊活動太容易被發現而且強度大,防禦者很容易將其隔離並清除僵屍網路。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。
⑵ 如何清除僵屍網路威脅
僵屍病毒 僵屍網路病毒,通過連接IRC伺服器進行通信從而控制被攻陷的計算機。僵屍網路(英文名稱叫BotNet),是互聯網上受到黑客集中控制的一群計算機,往往被黑客用來發起大規模的網路攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息也都可被黑客隨意「取用」。因此,不論是對網路安全運行還是用戶數據安全的保護來說,僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而,發現一個僵屍網路是非常困難的,因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」,這些主機的用戶往往並不知情。因此,僵屍網路是目前互聯網上黑客最青睞的作案工具。 此病毒有如下特徵: 1、連接IRC伺服器; 1)連接IRC伺服器的域名、IP、連接埠情況如下: 域名IP 埠 所在國家 0x80 194 64 194 64.202.167.129 TCP/6556,TCP/1023 美國 0x80.my-secure.name 194.109.11.65 TCP/6556,TCP/1023 荷蘭 0xff.memzero.info 無法解析 TCP/6556,TCP/1023 2)連接頻道:#26#,密碼:g3t0u7。 2、掃描隨機產生的IP地址,並試圖感染這些主機; 3、運行後將自身復制到System\netddesrv.exe; 4、在系統中添加名為NetDDE Server的服務,並受系統進程services.exe保護。 按照以下方法進行清除: 該蠕蟲在安全模式下也可以正常運行。但可以通過清除注冊表的方式在正常模式下清除蠕蟲。手工清除該蠕蟲的相關操作如下: 1、斷開網路; 2、恢復注冊表; 打開注冊表編輯器,在左邊的面板中打開並刪除以下鍵值: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 3、需要重新啟動計算機; 4、必須刪除蠕蟲釋放的文件; 刪除在system下的netddesrv.exe文件。(system是系統目錄,在win2000下為c:\winnt\system32,在winxp下為 c:\windows\system32) 5、運行殺毒軟體,對電腦系統進行全面的病毒查殺; 6、安裝微軟MS04-011、MS04-012、MS04-007漏洞補丁
⑶ 僵屍網路的4個發展階段 如何防禦僵屍網路(一)
因為,如今每一個僵屍網路都似乎在用最高級的技術並且使用高質量的軟體流程,挑釁著當前入侵檢測系統(IPS)的防禦策略。 因此,我們在這篇文章中先重點介紹一下僵屍網路和隱蔽軟體的技術狀況及其產業發展情況。 一個僵屍網路是一個被惡意軟體控制的分布式計算機或者系統的集合。因此,這些計算機也經常被稱作僵屍電腦。僵屍電腦由一個僵屍牧人(bot-herder)通過一台或者多台指揮與控制伺服器控制或者指揮。最常見的情況是僵屍牧人使用指揮與控制伺服器控制僵屍電腦,通過IRC(互聯網中繼聊天)或者P2P等網路通訊實施控制。僵屍電腦軟體一般是通過惡意軟體、蠕蟲、木馬程序或者其它後門渠道安裝的。 各個機構報告的僵屍電腦規模與增長的統計數據有很大差別。據安全公司賽門鐵克的「Threat Horizon Report」(威脅視野報告)稱,每天能夠檢測到5.5萬個新的僵屍網路節點。而《今日美國》報紙2008年的一篇報告稱,平均每天連接到互聯網的8億台電腦中有40%的電腦是用來發送垃圾郵件、病毒和竊取敏感個人數據的僵屍電腦。《今日美國》還報道稱,2008年的僵屍網路威脅比2007年增加了10倍。許多消息來源預測稱,最著名的僵屍網路Storm、Kraken和Conficker已經感染了大量的計算機。這些數字包括Storm(風暴)感染了8.5萬台計算機,Kraken感染了49.5萬台計算機,Conficker感染了900萬台計算機。 地下經濟與僵屍網路的發展 同任何由金錢驅動的市場一樣,僵屍網路開發者就像經營一個合法的生意那樣工作:他們利用合作、貿易和開發流程以及質量等好處。最近,僵屍網路已經開始使用生命周期管理工具、同行審查、面向對象和模塊化等通用的軟體質量做法。僵屍網路開發者正在銷售其軟體和感染載體,提供說明書和技術支持,並且收集用戶的反饋意見和要求。 在僵屍網路團體中,一致的經濟目標是推動技術創新、合作和風險教育。在線易貨貿易和市場網站已經開始為這種地下經濟團體服務,向僵屍牧人提供更好的易貨貿易和交易方式、在線技術支持以及租借和租賃等服務。這種合作已經催生了一個非常成熟的經濟。這里可以銷售和購買僵屍網路節點或者僵屍網路群。僵屍牧人在對一個實體展開攻擊的時候會在這里尋求合作。僵屍網路可以被租借用於發送垃圾郵件。竊取的身份證和賬戶可以在這個地下市場的參與者之間交換和出售。 僵屍網路的生命周期 僵屍網路的生命周期一般包括四個階段:傳播、感染、指揮與控制和攻擊,見圖1。圖1 僵屍網路的生命周期(來源:英特爾公司,2009年) 傳播階段。在許多僵屍網路的傳播階段,僵屍電腦程序到處傳播和感染系統。僵屍電腦能夠通過各種手段傳播,如垃圾郵件、網路蠕蟲、以及在用戶不知情的情況下通過網路下載惡意軟體。由於傳播階段的目標主要是感染系統,僵屍牧人或者採取引誘用戶安裝惡意軟體負載,或者通過應用程序或瀏覽器利用用戶的系統中的安全漏洞傳播惡意軟體負載。 感染階段。一旦安裝到系統,這個惡意軟體負載就使用各種技術感染機器和隱藏自己。僵屍電腦感染能力的進步包括隱藏感染的技術和通過攻擊殺毒工具和安全服務延長感染壽命的技術等。殺毒工具和安全服務一般能夠發現和清除這種感染。僵屍網路使用當前病毒使用的許多標準的惡意軟體技術。多形性和「rootkitting」是兩種最常用的技術。 ·通過多形性,惡意軟體每一次進行新的感染時都會改變代碼,從而使殺毒軟體產品很難檢測到它。而且,僵屍網路的開發者目前還使用軟體開發人員用來防止軟體盜版和反向工程的增強代碼的技術。這些技術包括代碼迷惑、加密和進一步隱藏惡意代碼真實性質的編碼以及讓殺毒軟體廠商更難分析的編碼。許多跡象表明,惡意軟體和僵屍網路開發者正在開始研究高級的「rootkitting」技術,以便更深地隱藏惡意軟體。 ·通過利用「rootkitting」技術,也就是隱蔽地安裝惡意軟體的技術,每一次系統啟動的時候這個名為「rootkit」的惡意軟體都會啟動。rootkit是很難發現的,因為這種惡意軟體在電腦的操作系完全啟動之前就啟動了。rootkit技術的進步包括超劫持和基於虛擬化的rootkit以及發現和利用新目標以便注入固件和BIOS等代碼。 虛擬機監視器(VMM)或者在一個操作系統下面運行的管理程序是僵屍網路和惡意軟開發者控制計算機系統的一個非常有用的手段。超劫持包括安裝一個能夠完全控制這個系統的惡意管理程序。普通的安全措施很難對付這種管理程序,因為操作系統不知道這個機器已經被攻破了,殺毒軟體和本地防火牆也不能發現它們。 僵屍網路開發者目前使用的另一個技術是主動攻擊殺毒軟體、本地防火牆以及入侵防禦與檢測軟體(IPS/ IDS)和服務。僵屍網路攻擊殺毒軟體和防火牆軟體使用的技術包括殺死安全軟體流程或者阻止其更新能力等手段。下面是我們了解的僵屍網路封鎖安全軟體更新的兩個例子: ·一個僵屍網路改變了被感染的系統的本地DNS設置以阻止殺毒軟體訪問其更新網站。 ·僵屍網路主動檢查安全軟體連接其更新網站的企圖並且封鎖這個連接。 這些封鎖安全軟體更新的技術阻止安全軟體獲得其廠商提供的更新的惡意軟體特徵,或者阻止安全軟體向中心廠商伺服器報告異常情況和獲得更新,從而阻止安全軟體發布對抗僵屍網路的新版本程序。 僵屍網路開發者使用的另一種感染技術是把感染的時間定在安全軟體實施惡意軟體檢測服務掃描的間隔時間里。僵屍電腦程序緩慢地感染一個系統不會引起入侵檢測軟體服務發出報警。 其它高級的僵屍電腦程序能夠欺騙IDS/IPS系統和殺毒軟體執行的本地和遠程掃描。在這種情況下,這個僵屍網路的惡意軟體會向進行掃描的殺毒軟體展示虛假的內存鏡像或者虛假的硬體鏡像,或者這個軟體通過丟棄數據包中斷安全漏洞掃描,欺騙網路的響應或者重新定向來自安全漏洞掃描器的通訊。 指揮與控制。僵屍網路指揮與控制伺服器使用若干協議中的一個協議進行通訊,目前最常用的一個協議是IRC。然而,最近開始出現一種使用增強的或者保護的協議的趨勢。例如,Storm(風暴)僵屍網路使用加密的P2P協議(eDonkey/Overnet)。指揮與控制技術的進步對於僵屍牧人防止其僵屍網路被發現和關閉是非常重要的。要達到這個目的,僵屍網路已經開始利用在網路上常用的HTTP和P2P等協議,從而使僵屍網路更難發現。HTTP協議對於僵屍網路是特別有利的,因為目前來自系統的HTTP通訊量非常大並且具有多種類型的通訊。此外,僵屍網路軟體還能夠利用本地瀏覽器軟體的許多功能和通訊棧,利用HTTP協議穿過防火牆的能力。其它即將出現的技術還包括使用VoiP、Web服務和HTTP通訊棧中的腳本等技術。另一個高級的技術是使用直接發送的方式,就是利用用戶能夠匿名發布信息的互聯網論壇或者新聞組等網站傳播僵屍網路軟體。僵屍網路節點能夠在這種網站上發布信息。僵屍牧人能夠匿名地查看自己的節點發送的信息並且發布指令。然後,這個僵屍網路節點能夠查詢這個網站了解新的指令和進行其它基於消息的指揮與控制通訊。 現代僵屍網路發展的一個關鍵功能是在感染一個系統之後能夠重新編程或者更新這個僵屍網路節點。這個指揮與控制指令可以讓這個節點直接下載更新軟體或者去一個被感染的具體網址下載這個更新軟體。具有可重新編程能力的僵屍網路在這種地下經濟中有很高的價值,因為這些僵屍網路能夠隨著發展而擴大以執行新的和高級的攻擊和隱蔽的任務。 如上所述,隱蔽是僵屍網路技術的一個關鍵的功能。Kracken和Conficker僵屍網路都攻擊和關閉安裝在系統中的殺毒軟體。其它僵屍網路故意通過客戶化制定感染的時機和通訊的頻繁程度以避開門限檢測軟體,防止本地的和網路的安全產品發現其蹤跡。演算法技術是下一種方式。僵屍網路開發者計劃利用這種技術避開檢測。這種技術包括使用隱蔽的通訊頻道和基於速記式加密的信息,如模仿和嵌入內容(也就是嵌入在圖像、流媒體、VoiP等內容中的消息)。 攻擊階段。僵屍網路生命周期的最後階段是攻擊階段。在許多情況下,這種攻擊只是簡單地發送攜帶感染病毒的垃圾郵件。當攻擊成功的時候,這個僵屍網路本身的規模將擴大。僵屍網路還經常用於發送垃圾郵件,作為實物交易和租借交易的一部分。這樣,釣魚攻擊者、黑客、垃圾郵件製造者和病毒作者就能夠利用僵屍網路銷售信息和服務。僵屍網路還用來實施大規模拒絕服務攻擊,攻擊的目標包括政府和企業系統,甚至還攻擊其它僵屍網路。一些新的僵屍網路能夠升級到使用各種黑客工具和故障注入器等技術進一步攻擊它們已經滲透進去的網路。例如,Asprox僵屍網路包含一種SQL注入攻擊工具,另一種僵屍網路包括一個蠻力SSH攻擊引擎。除了實施遠程攻擊之外,僵屍網路還能夠實施持續的本地攻擊,竊取被感染的系統及其用戶的身份證和賬戶。
⑷ 電腦中了僵屍網路怎麼辦
僵屍網路解決方案
好消息是在威脅不斷增長時,防禦力量也在快速反應。如果是一家大型企業的負責人,可以使用一些商業產品或開源產品,來對付這些威脅。
首先是飢啟吵FireEye的產品,它可以給出任何攻擊的清晰視圖,而無需求助於任何簽名。FireEye的虛擬爛侍機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網路節點,阻止其與客戶端網路的通信。這使得客戶的IT人員在FireEye發現僵屍網路攻擊時就可以採取行動,然後輕松地重新構建被感染的系統。在網路訪問不太至關重要時,可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網路。這家公司的Failsafe解決方案能夠確認企業網路內的受損害的主機,而無需使用簽名技術或基於行為的技術。此外,SecureWorks和eEye Digital Security也擁有自己對付僵屍網路的專用技術。
著名的大型公司,如谷歌等,不太可能被僵屍網路擊垮。其原因很簡單,它們主要依賴於分布式伺服器。DDoS攻擊者將不得不征服這種全球性的分布式網路,而這幾乎是不太可能旁攜的,因為這種網路可以處理的數據量可達每秒鍾650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊,如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。
不過,由於DDoS攻擊活動太容易被發現而且強度大,防禦者很容易將其隔離並清除僵屍網路。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。
⑸ 僵屍網路是什麼
僵屍網路是指採用一種或多種傳播手段,將大量主機感染bot程序(僵屍程序),從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。
攻擊者通過各種途徑傳播僵屍程序感染互聯網上的大量主機,而被感染的主機將通過一個控制信道接收攻擊者的指令,組成一個僵屍網路。之所以用僵屍網路這個名字,是為了更形象的讓人們認識到這類危害的特點:眾多的計算機在不知不覺中如同中國古老傳說中的僵屍群一樣被人驅趕和指揮著,成為被人利用的一種工具。
在Botnet的概念中有這樣幾個關鍵詞。「bot程序」是robot的縮寫,是指實現惡意控制功能的程序代碼;「僵屍計算機」就是被植入bot的計算機;「控制伺服器(Control Server)」是指控制和通信的中心伺服器,在基於IRC(網際網路中繼聊天)協議進行控制的Botnet中,就是指提供IRC聊天服務的伺服器。
Botnet
首先是一個可控制的網路,這個網路並不是指物理意義上具有拓撲結構的網路,它具有一定的分布性,隨著bot程序的不斷傳播而不斷有新位置的僵屍計算機添加到這個網路中來。
其次,這個網路是採用了一定的惡意傳播手段形成的,例如主動漏洞攻擊,郵件病毒等各種病毒與蠕蟲的傳播手段,都可以用來進行Botnet的傳播,從這個意義上講,惡意程序bot也是一種病毒或蠕蟲。
最後一點,也是Botnet的最主要的特點,就是可以一對多地執行相同的惡意行為,比如可以同時對某目標網站進行分布式拒絕服務(DDos)攻擊,同時發送大量的垃圾郵件等,而正是這種一對多的控制關系,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務,這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候,Botnet充當了一個攻擊平台的角色,這也就使得Botnet不同於簡單的病毒和蠕蟲,也與通常意義的木馬有所不同。
僵屍網路是互聯網上受到黑客集中控制的一群計算機,往往被黑客用來發起大規模的網路攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息,譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意「取用」。因此,不論是對網路安全運行還是用戶數據安全的保護來說,僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而,發現一個僵屍網路是非常困難的,因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」,這些主機的用戶往往並不知情。因此,僵屍網路是目前互聯網上黑客最青睞的作案工具。
對網友而言,感染上「僵屍病毒」卻十分容易。網路上搔首弄姿的美女、各種各樣有趣的小游戲,都在吸引著網友輕輕一點滑鼠。但事實上,點擊之後毫無動靜,原來一切只是騙局,意在誘惑網友下載有問題的軟體。一旦這種有毒的軟體進入到網友電腦,遠端主機就可以發號施令,對電腦進行操控。
專家表示,每周平均新增數十萬台任人遙控的僵屍電腦,任憑遠端主機指揮,進行各種不法活動。多數時候,僵屍電腦的根本不曉得自己已被選中,任人擺布。
僵屍網路之所以出現,在家高速上網越來越普遍也是原因。高速上網可以處理(或製造)更多的流量,但高速上網家庭習慣將電腦長時間開機,唯有電腦開機,遠端主機才可以對僵屍電腦發號施令。
網路專家稱:「重要的硬體設施雖然非常重視殺毒、防黑客,但網路真正的安全漏洞來自於住家用戶,這些個體戶欠缺自我保護的知識,讓網路充滿地雷,進而對其他用戶構成威脅。」
Botnet的發展過程
Botnet是隨著自動智能程序的應用而逐漸發展起來的。在早期的IRC聊天網路中,有一些服務是重復出現的,如防止頻道被濫用、管理許可權、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。於是在1993 年,在IRC 聊天網路中出現了Bot 工具——Eggdrop,這是第一個bot程序,能夠幫助用戶方便地使用IRC 聊天網路。這種bot的功能是良性的,是出於服務的目的,然而這個設計思路卻為黑客所利用,他們編寫出了帶有惡意的Bot 工具,開始對大量的受害主機進行控制,利用他們的資源以達到惡意目標。
20世紀90年代末,隨著分布式拒絕服務攻擊概念的成熟,出現了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo,攻擊者利用這些工具控制大量的被感染主機,發動分布式拒絕服務攻擊。而這些被控主機從一定意義上來說已經具有了Botnet的雛形。
1999 年,在第八屆DEFCON 年會上發布的SubSeven 2.1 版開始使用IRC 協議構建攻擊者對僵屍主機的控制信道,也成為第一個真正意義上的bot程序。隨後基於IRC協議的bot程序的大量出現,如GTBot、Sdbot 等,使得基於IRC協議的Botnet成為主流。
2003 年之後,隨著蠕蟲技術的不斷成熟,bot的傳播開始使用蠕蟲的主動傳播技術,從而能夠快速構建大規模的Botnet。著名的有2004年爆發的Agobot/Gaobot 和rBot/Spybot。同年出現的Phatbot 則在Agobot 的基礎上,開始獨立使用P2P 結構構建控制信道。
從良性bot的出現到惡意bot的實現,從被動傳播到利用蠕蟲技術主動傳播,從使用簡單的IRC協議構成控制信道到構建復雜多變P2P結構的控制模式,Botnet逐漸發展成規模龐大、功能多樣、不易檢測的惡意網路,給當前的網路安全帶來了不容忽視的威脅。
Botnet的工作過程
Botnet的工作過程包括傳播、加入和控制三個階段。
一個Botnet首先需要的是具有一定規模的被控計算機,而這個規模是逐漸地隨著採用某種或某幾種傳播手段的bot程序的擴散而形成的,在這個傳播過程中有如下幾種手段:
(1)主動攻擊漏洞。其原理是通過攻擊系統所存在的漏洞獲得訪問權,並在Shellcode 執行bot程序注入代碼,將被攻擊系統感染成為僵屍主機。屬於此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進行攻擊,獲得許可權後下載bot程序執行。攻擊者還會將僵屍程序和蠕蟲技術進行結合,從而使bot程序能夠進行自動傳播,著名的bot樣本AgoBot,就是實現了將bot程序的自動傳播。
(2)郵件病毒。bot程序還會通過發送大量的郵件病毒傳播自身,通常表現為在郵件附件中攜帶僵屍程序以及在郵件內容中包含下載執行bot程序的鏈接,並通過一系列社會工程學的技巧誘使接收者執行附件或點擊鏈接,或是通過利用郵件客戶端的漏洞自動執行,從而使得接收者主機被感染成為僵屍主機。
(3)即時通信軟體。利用即時通信軟體向好友列表發送執行僵屍程序的鏈接,並通過社會工程學技巧誘騙其點擊,從而進行感染,如2005年年初爆發的MSN性感雞(Worm.MSNLoveme)採用的就是這種方式。
(4)惡意網站腳本。攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本,當訪問者訪問這些網站時就會執行惡意腳本,使得bot程序下載到主機上,並被自動執行。
(5)特洛伊木馬。偽裝成有用的軟體,在網站、FTP 伺服器、P2P 網路中提供,誘騙用戶下載並執行。
通過以上幾種傳播手段可以看出,在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復雜的間諜軟體很相近。
在加入階段,每一個被感染主機都會隨著隱藏在自身上的bot程序的發作而加入到Botnet中去,加入的方式根據控制方式和通信協議的不同而有所不同。在基於IRC協議的Botnet中,感染bot程序的主機會登錄到指定的伺服器和頻道中去,在登錄成功後,在頻道中等待控制者發來的惡意指令。圖2為在實際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。
在控制階段,攻擊者通過中心伺服器發送預先定義好的控制指令,讓被感染主機執行惡意行為,如發起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。圖3為觀測到的在控制階段向內網傳播惡意程序的Botnet行為。
Botnet的分類
Botnet根據分類標準的不同,可以有許多種分類。
按bot程序的種類分類
(1)Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵屍工具。防病毒廠商Spphos 列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析),這個數目也在穩步增長。僵屍工具本身使用跨平台的C++寫成。Agobot 最新可獲得的版本代碼清晰並且有很好的抽象設計,以模塊化的方式組合,添加命令或者其他漏洞的掃描器及攻擊功能非常簡單,並提供像文件和進程隱藏的Rootkit 能力在攻陷主機中隱藏自己。在獲取該樣本後對它進行逆向工程是比較困難的,因為它包含了監測調試器(Softice 和O11Dbg)和虛擬機(VMware 和Virtual PC)的功能。
(2)SDBot/RBot/UrBot/SpyBot/。這個家族的惡意軟體目前是最活躍的bot程序軟體,SDBot 由C語言寫成。它提供了和Agobot 一樣的功能特徵,但是命令集沒那麼大,實現也沒那麼復雜。它是基於IRC協議的一類bot程序。
(3)GT-Bots。GT-Bots是基於當前比較流行的IRC客戶端程序mIRC編寫的,GT是(Global Threat)的縮寫。這類僵屍工具用腳本和其他二進制文件開啟一個mIRC聊天客戶端, 但會隱藏原mIRC窗口。通過執行mIRC 腳本連接到指定的伺服器頻道上,等待惡意命令。這類bot程序由於捆綁了mIRC程序,所以體積會比較大,往往會大於1MB。
按Botnet的控制方式分類
(1)IRC Botnet。是指控制和通信方式為利用IRC協議的Botnet,形成這類Botnet的主要bot程序有spybot、GTbot和SDbot,目前絕大多數Botnet屬於這一類別。
(2)AOL Botnet。與IRC Bot類似,AOL為美國在線提供的一種即時通信服務,這類Botnet是依託這種即時通信服務形成的網路而建立的,被感染主機登錄到固定的伺服器上接收控制命令。AIM-Canbot和Fizzer就採用了AOL Instant Messager實現對Bot的控制。
(3)P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端,可以連入採用了Gnutella技術(一種開放源碼的文件共享技術)的伺服器,利用WASTE文件共享協議進行相互通信。由於這種協議分布式地進行連接,就使得每一個僵屍主機可以很方便地找到其他的僵屍主機並進行通信,而當有一些bot被查殺時,並不會影響到Botnet的生存,所以這類的Botnet具有不存在單點失效但實現相對復雜的特點。Agobot和Phatbot採用了P2P的方式。
Botnet的危害
Botnet構成了一個攻擊平台,利用這個平台可以有效地發起各種各樣的攻擊行為,可以導致整個基礎信息網路或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網路欺詐等其他違法犯罪活動。下面是已經發現的利用Botnet發動的攻擊行為。隨著將來出現各種新的攻擊類型,Botnet還可能被用來發起新的未知攻擊。
(1)拒絕服務攻擊。使用Botnet發動DDos攻擊是當前最主要的威脅之一,攻擊者可以向自己控制的所有bots發送指令,讓它們在特定的時間同時開始連續訪問特定的網路目標,從而達到DDos的目的。由於Botnet可以形成龐大規模,而且利用其進行DDos攻擊可以做到更好地同步,所以在發布控制指令時,能夠使得DDos的危害更大,防範更難。
(2)發送垃圾郵件。一些bots會設立sockv4、v5 代理,這樣就可以利用Botnet發送大量的垃圾郵件,而且發送者可以很好地隱藏自身的IP信息。
(3)竊取秘密。Botnet的控制者可以從僵屍主機中竊取用戶的各種敏感信息和其他秘密,例如個人帳號、機密數據等。同時bot程序能夠使用sniffer觀測感興趣的網路數據,從而獲得網路流量中的秘密。
(4)濫用資源。攻擊者利用Botnet從事各種需要耗費網路資源的活動,從而使用戶的網路性能受到影響,甚至帶來經濟損失。例如:種植廣告軟體,點擊指定的網站;利用僵屍主機的資源存儲大型數據和違法數據等,利用僵屍主機搭建假冒的銀行網站從事網路釣魚的非法活動。
可以看出,Botnet無論是對整個網路還是對用戶自身,都造成了比較嚴重的危害,我們要採取有效的方法減少Botnet的危害。
Botnet的研究現狀
對於Botnet的研究是最近幾年才逐漸開始的,從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出發,將其視為一種由後門工具、蠕蟲、Spyware 等技術結合的惡意軟體而歸入了病毒的查殺范圍。著名的各大反病毒廠商都將幾個重要的bot程序特徵碼寫入到病毒庫中。賽門鐵克從2004 年開始,在其每半年發布一次的安全趨勢分析報告中,以單獨的章節給出對Botnet活動的觀測結果。卡巴斯基也在惡意軟體趨勢分析報告中指出,僵屍程序的盛行是2004年病毒領域最重大的變化。
學術界在2003年開始關注Botnet的發展。國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析,如Azusa Pacific大學的Bill McCarty、法國蜜網項目組的Richard Clarke、華盛頓大學Dave Dittrich和德國蜜網項目組。特別是德國蜜網項目組在2004年11月到2005 年1月通過部署Win32蜜罐機發現並對近100個Botnet進行了跟蹤,並發布了Botnet跟蹤的技術報告。
Botnet的一個主要威脅是作為攻擊平台對指定的目標發起DDos(分布式拒絕服務攻擊)攻擊,所以DDos的研究人員同樣也做了對Botnet的研究工作。由國外DDosVax組織的「Detecting Bots in Internet Relay Chat Systems」項目中,分析了基於IRC協議的bot程序的行為特徵,在網路流量中擇選出對應關系,從而檢測出Botnet的存在。該組織的這個研究方法通過在plantlab中搭建一個Botnet的實驗環境來進行測試,通過對得到的數據進行統計分析,可以有效驗證關於Botnet特徵流量的分析結果,但存在著一定的誤報率。
國內在2005年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2005年1月開始實施用蜜網跟蹤Botnet的項目,對收集到的惡意軟體樣本,採用了沙箱、蜜網這兩種各有優勢的技術對其進行分析,確認其是否為僵屍程序,並對僵屍程序所要連接的Botnet控制信道的信息進行提取,最終獲得了60,000 多個僵屍程序樣本分析報告,並對其中500多個仍然活躍的Botnet進行跟蹤,統計出所屬國分布、規模分布等信息。
國家應急響應中心通過863-917網路安全監測平台,在2005年共監測到的節點大於1000個的Botnet規模與數量統計如圖4所示。
這些數據和活動情況都說明,我國國內網上的Botnet的威脅比較嚴重,需要引起網路用戶的高度重視。
CCERT惡意代碼研究項目組在2005年7月開始對Botnet的研究工作,通過對大量已經掌握的Botnet的實際跟蹤與深入分析,對基於IRC協議的Botnet的伺服器端的特徵進行了分類提取,形成對於Botnet 伺服器端的判斷規則,從而可以對網路中的IRC Server進行性質辨別。設計並初步實現了Botnet自動識別系統,應用於中國教育和科研計算機網路環境中。
可以看出,從國內到國外,自2004年以來對Botnet的研究越來越多地受到網路安全研究人員的重視,研究工作已經大大加強。但是這些工作還遠遠不夠,在檢測和處置Botnet方面還有許多工作要做。
Botnet的研究方法
對於目前比較流行的基於IRC協議的Botnet的研究方法,主要使用蜜網技術、網路流量研究以及IRC Server識別技術。
(1)使用蜜網技術。蜜網技術是從bot程序出發的,可以深入跟蹤和分析Botnet的性質和特徵。主要的研究過程是,首先通過密罐等手段盡可能多地獲得各種流傳在網上的bot程序樣本;當獲得bot程序樣本後,採用逆向工程等惡意代碼分析手段,獲得隱藏在代碼中的登錄Botnet所需要的屬性,如Botnet伺服器地址、服務埠、指定的惡意頻道名稱及登錄密碼,以及登錄所使用到的用戶名稱,這些信息都為今後有效地跟蹤Botnet和深入分析Botnet的特徵提供了條件。在具備了這些條件之後,使用偽裝的客戶端登錄到Botnet中去,當確認其確實為Botnet後,可以對該Botnet採取相應的措施。
(2)網路流量研究。網路流量的研究思路是通過分析基於IRC協議的Botnet中僵屍主機的行為特徵,將僵屍主機分為兩類:長時間發呆型和快速加入型。具體來說就是僵屍主機在Botnet中存在著三個比較明顯的行為特徵,一是通過蠕蟲傳播的僵屍程序,大量的被其感染計算機會在很短的時間內加入到同一個IRC Server中;二是僵屍計算機一般會長時間在線;三是僵屍計算機作為一個IRC聊天的用戶,在聊天頻道內長時間不發言,保持空閑。將第一種行為特徵歸納為快速加入型,將第二、三種行為特徵歸納為長期發呆型。
研究對應這兩類僵屍計算機行為的網路流量變化,使用離線和在線的兩種分析方法,就可以實現對Botnet的判斷。
(3)IRC Server識別技術的研究。通過登錄大量實際的基於IRC協議的Botnet的伺服器端,可以看到,由於攻擊者為了隱藏自身而在伺服器端刻意隱藏了IRC伺服器的部分屬性。同時,通過對bot源代碼的分析看到,當被感染主機加入到控制伺服器時,在伺服器端能夠表現出許多具有規律性的特徵。通過對這些特徵的歸納總結,就形成了可以用來判斷基於IRC協議的Botnet的伺服器端的規則,這樣就可以直接確定出Botnet的位置及其規模、分布等性質,為下一步採取應對措施提供有力的定位支持。
以上三種研究方法都是針對基於IRC協議的Botnet。對於P2P結構的Botnet的研究較少,原因是由於其實現比較復雜,在網路中並不佔有太大比例,同時也因為其在控制方式上的分布性使得對它的研究比較困難。但隨著Botnet的發展,對於P2P結構的Botnet的研究也將進一步深入。
⑹ 電腦僵屍網路病毒電腦肉雞
肉雞是被控制電腦的俗稱
僵屍網路就是群體利用肉雞進行網路攻擊等違法行為的網路機群
網路病毒則是具備傳染性的病毒程序
⑺ 電腦中了僵屍網路怎麼辦
計算機僵屍病毒(computer
virus)被明確定義,病毒指「編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼」。與醫學上的「病毒」不同,計算機僵屍病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)里,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!
解決方法:
1、如果殺毒軟體提示有病毒入侵,一定要立刻開啟查殺,如果閃電查殺順利解決掉病毒就最好,如果不行,就改為全盤查殺;
2、全盤查殺時間相對較長,可能查過兩三個小時,這個時候一定要看看感染電腦的病毒類型,如果是感染性/病毒,建議你不要查殺了,等你查殺完你的整個硬碟就全感染了;
3、如果剛感染不久,最好的解決方法是立刻重裝系統。
⑻ 電腦僵屍網路病毒如何查殺及防範
當然有啦,瑞星殺毒軟體(Rising Antivirus)(簡稱RAV) 採用獲得歐盟及中國專利的六項核心技術,形成全新軟體內核代碼;具有八大絕技和多種應用特性;是目前國內外同類產品中最具實用價值和安全保障的殺毒軟體產品。瑞星殺毒軟體的主動防卸和反釣魚功能都非常強悍!瑞星防火牆主要是用來攔截網路攻擊,阻止黑客攻擊系統對用戶造成的危險。 出站攻擊防禦:最大程度解決「肉雞」和「網路僵屍」對網路造成的安全威脅。 惡意網址攔截:保護用戶在訪問網頁時,不被病毒及釣魚網頁侵害。個人防火牆是為解決網路上黑客攻擊問題而研製的個人信息安全產品,具有完備的規則設置,能有效的監控任何網路連接,保護網路不受黑客的攻擊。