⑴ 电脑中了僵尸网络怎么办
僵尸网络防御方法
如果一台计算机受到了一个僵尸网络的DoS攻击,几乎没有什么选择。一般来说,僵尸网络在地理上是分布式的,我们难于确定其攻击计算机的模式。
被动的操作系统指纹识别可以确认源自僵尸网络的攻击,网络管理员可以配置防火墙设备,使用被动的操作系统指纹识别所获得的信息,对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。
一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击,但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来,有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”,因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。
前述的僵尸服务器结构有着固有的漏洞和问题。例如,如果发现了一个拥有僵尸网络通道的服务器,也会暴露其它的所有服务器和其它僵尸。如果一个僵尸网络服务器缺乏冗余性,断开服务器将导致整个僵尸网络崩溃。然而,IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性,所以发现一个通道未必会导致僵尸网络的消亡。
基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器,如“空路由”的DNS项目,或者完全关闭IRC服务器。
但是,新一代的僵尸网络几乎完全都是P2P的,将命令和控制嵌入到僵尸网络中,通过动态更新和变化,僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥,才能读取僵尸网络所捕获的数据。
必须指出,新一代僵尸网络能够检测可以分析其工作方式的企图,并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时,甚至可以将研究者从网络中断开。所以单位需要专业的僵尸网络解决
僵尸网络解决方案
好消息是在威胁不断增长时,防御力量也在快速反应。如果你是一家大型企业的负责人,你可以使用一些商业产品或开源产品,来对付这些威胁。
首先是FireEye的产品,它可以给出任何攻击的清晰视图,而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点,阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动,然后轻松地重新构建被感染的系统。在网络访问不太至关重要时,可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机,而无需使用签名技术或基于行为的技术。此外,SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。
着名的大型公司,如谷歌等,不太可能被僵尸网络击垮。其原因很简单,它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络,而这几乎是不太可能的,因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击,如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。
不过,由于DDoS攻击活动太容易被发现而且强度大,防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。
⑵ 如何清除僵尸网络威胁
僵尸病毒 僵尸网络病毒,通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 此病毒有如下特征: 1、连接IRC服务器; 1)连接IRC服务器的域名、IP、连接端口情况如下: 域名IP 端口 所在国家 0x80 194 64 194 64.202.167.129 TCP/6556,TCP/1023 美国 0x80.my-secure.name 194.109.11.65 TCP/6556,TCP/1023 荷兰 0xff.memzero.info 无法解析 TCP/6556,TCP/1023 2)连接频道:#26#,密码:g3t0u7。 2、扫描随机产生的IP地址,并试图感染这些主机; 3、运行后将自身复制到System\netddesrv.exe; 4、在系统中添加名为NetDDE Server的服务,并受系统进程services.exe保护。 按照以下方法进行清除: 该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下: 1、断开网络; 2、恢复注册表; 打开注册表编辑器,在左边的面板中打开并删除以下键值: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 3、需要重新启动计算机; 4、必须删除蠕虫释放的文件; 删除在system下的netddesrv.exe文件。(system是系统目录,在win2000下为c:\winnt\system32,在winxp下为 c:\windows\system32) 5、运行杀毒软件,对电脑系统进行全面的病毒查杀; 6、安装微软MS04-011、MS04-012、MS04-007漏洞补丁
⑶ 僵尸网络的4个发展阶段 如何防御僵尸网络(一)
因为,如今每一个僵尸网络都似乎在用最高级的技术并且使用高质量的软件流程,挑衅着当前入侵检测系统(IPS)的防御策略。 因此,我们在这篇文章中先重点介绍一下僵尸网络和隐蔽软件的技术状况及其产业发展情况。 一个僵尸网络是一个被恶意软件控制的分布式计算机或者系统的集合。因此,这些计算机也经常被称作僵尸电脑。僵尸电脑由一个僵尸牧人(bot-herder)通过一台或者多台指挥与控制服务器控制或者指挥。最常见的情况是僵尸牧人使用指挥与控制服务器控制僵尸电脑,通过IRC(互联网中继聊天)或者P2P等网络通讯实施控制。僵尸电脑软件一般是通过恶意软件、蠕虫、木马程序或者其它后门渠道安装的。 各个机构报告的僵尸电脑规模与增长的统计数据有很大差别。据安全公司赛门铁克的“Threat Horizon Report”(威胁视野报告)称,每天能够检测到5.5万个新的僵尸网络节点。而《今日美国》报纸2008年的一篇报告称,平均每天连接到互联网的8亿台电脑中有40%的电脑是用来发送垃圾邮件、病毒和窃取敏感个人数据的僵尸电脑。《今日美国》还报道称,2008年的僵尸网络威胁比2007年增加了10倍。许多消息来源预测称,最着名的僵尸网络Storm、Kraken和Conficker已经感染了大量的计算机。这些数字包括Storm(风暴)感染了8.5万台计算机,Kraken感染了49.5万台计算机,Conficker感染了900万台计算机。 地下经济与僵尸网络的发展 同任何由金钱驱动的市场一样,僵尸网络开发者就像经营一个合法的生意那样工作:他们利用合作、贸易和开发流程以及质量等好处。最近,僵尸网络已经开始使用生命周期管理工具、同行审查、面向对象和模块化等通用的软件质量做法。僵尸网络开发者正在销售其软件和感染载体,提供说明书和技术支持,并且收集用户的反馈意见和要求。 在僵尸网络团体中,一致的经济目标是推动技术创新、合作和风险教育。在线易货贸易和市场网站已经开始为这种地下经济团体服务,向僵尸牧人提供更好的易货贸易和交易方式、在线技术支持以及租借和租赁等服务。这种合作已经催生了一个非常成熟的经济。这里可以销售和购买僵尸网络节点或者僵尸网络群。僵尸牧人在对一个实体展开攻击的时候会在这里寻求合作。僵尸网络可以被租借用于发送垃圾邮件。窃取的身份证和账户可以在这个地下市场的参与者之间交换和出售。 僵尸网络的生命周期 僵尸网络的生命周期一般包括四个阶段:传播、感染、指挥与控制和攻击,见图1。图1 僵尸网络的生命周期(来源:英特尔公司,2009年) 传播阶段。在许多僵尸网络的传播阶段,僵尸电脑程序到处传播和感染系统。僵尸电脑能够通过各种手段传播,如垃圾邮件、网络蠕虫、以及在用户不知情的情况下通过网络下载恶意软件。由于传播阶段的目标主要是感染系统,僵尸牧人或者采取引诱用户安装恶意软件负载,或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件负载。 感染阶段。一旦安装到系统,这个恶意软件负载就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。杀毒工具和安全服务一般能够发现和清除这种感染。僵尸网络使用当前病毒使用的许多标准的恶意软件技术。多形性和“rootkitting”是两种最常用的技术。 ·通过多形性,恶意软件每一次进行新的感染时都会改变代码,从而使杀毒软件产品很难检测到它。而且,僵尸网络的开发者目前还使用软件开发人员用来防止软件盗版和反向工程的增强代码的技术。这些技术包括代码迷惑、加密和进一步隐藏恶意代码真实性质的编码以及让杀毒软件厂商更难分析的编码。许多迹象表明,恶意软件和僵尸网络开发者正在开始研究高级的“rootkitting”技术,以便更深地隐藏恶意软件。 ·通过利用“rootkitting”技术,也就是隐蔽地安装恶意软件的技术,每一次系统启动的时候这个名为“rootkit”的恶意软件都会启动。rootkit是很难发现的,因为这种恶意软件在电脑的操作系完全启动之前就启动了。rootkit技术的进步包括超劫持和基于虚拟化的rootkit以及发现和利用新目标以便注入固件和BIOS等代码。 虚拟机监视器(VMM)或者在一个操作系统下面运行的管理程序是僵尸网络和恶意软开发者控制计算机系统的一个非常有用的手段。超劫持包括安装一个能够完全控制这个系统的恶意管理程序。普通的安全措施很难对付这种管理程序,因为操作系统不知道这个机器已经被攻破了,杀毒软件和本地防火墙也不能发现它们。 僵尸网络开发者目前使用的另一个技术是主动攻击杀毒软件、本地防火墙以及入侵防御与检测软件(IPS/ IDS)和服务。僵尸网络攻击杀毒软件和防火墙软件使用的技术包括杀死安全软件流程或者阻止其更新能力等手段。下面是我们了解的僵尸网络封锁安全软件更新的两个例子: ·一个僵尸网络改变了被感染的系统的本地DNS设置以阻止杀毒软件访问其更新网站。 ·僵尸网络主动检查安全软件连接其更新网站的企图并且封锁这个连接。 这些封锁安全软件更新的技术阻止安全软件获得其厂商提供的更新的恶意软件特征,或者阻止安全软件向中心厂商服务器报告异常情况和获得更新,从而阻止安全软件发布对抗僵尸网络的新版本程序。 僵尸网络开发者使用的另一种感染技术是把感染的时间定在安全软件实施恶意软件检测服务扫描的间隔时间里。僵尸电脑程序缓慢地感染一个系统不会引起入侵检测软件服务发出报警。 其它高级的僵尸电脑程序能够欺骗IDS/IPS系统和杀毒软件执行的本地和远程扫描。在这种情况下,这个僵尸网络的恶意软件会向进行扫描的杀毒软件展示虚假的内存镜像或者虚假的硬件镜像,或者这个软件通过丢弃数据包中断安全漏洞扫描,欺骗网络的响应或者重新定向来自安全漏洞扫描器的通讯。 指挥与控制。僵尸网络指挥与控制服务器使用若干协议中的一个协议进行通讯,目前最常用的一个协议是IRC。然而,最近开始出现一种使用增强的或者保护的协议的趋势。例如,Storm(风暴)僵尸网络使用加密的P2P协议(eDonkey/Overnet)。指挥与控制技术的进步对于僵尸牧人防止其僵尸网络被发现和关闭是非常重要的。要达到这个目的,僵尸网络已经开始利用在网络上常用的HTTP和P2P等协议,从而使僵尸网络更难发现。HTTP协议对于僵尸网络是特别有利的,因为目前来自系统的HTTP通讯量非常大并且具有多种类型的通讯。此外,僵尸网络软件还能够利用本地浏览器软件的许多功能和通讯栈,利用HTTP协议穿过防火墙的能力。其它即将出现的技术还包括使用VoiP、Web服务和HTTP通讯栈中的脚本等技术。另一个高级的技术是使用直接发送的方式,就是利用用户能够匿名发布信息的互联网论坛或者新闻组等网站传播僵尸网络软件。僵尸网络节点能够在这种网站上发布信息。僵尸牧人能够匿名地查看自己的节点发送的信息并且发布指令。然后,这个僵尸网络节点能够查询这个网站了解新的指令和进行其它基于消息的指挥与控制通讯。 现代僵尸网络发展的一个关键功能是在感染一个系统之后能够重新编程或者更新这个僵尸网络节点。这个指挥与控制指令可以让这个节点直接下载更新软件或者去一个被感染的具体网址下载这个更新软件。具有可重新编程能力的僵尸网络在这种地下经济中有很高的价值,因为这些僵尸网络能够随着发展而扩大以执行新的和高级的攻击和隐蔽的任务。 如上所述,隐蔽是僵尸网络技术的一个关键的功能。Kracken和Conficker僵尸网络都攻击和关闭安装在系统中的杀毒软件。其它僵尸网络故意通过客户化制定感染的时机和通讯的频繁程度以避开门限检测软件,防止本地的和网络的安全产品发现其踪迹。算法技术是下一种方式。僵尸网络开发者计划利用这种技术避开检测。这种技术包括使用隐蔽的通讯频道和基于速记式加密的信息,如模仿和嵌入内容(也就是嵌入在图像、流媒体、VoiP等内容中的消息)。 攻击阶段。僵尸网络生命周期的最后阶段是攻击阶段。在许多情况下,这种攻击只是简单地发送携带感染病毒的垃圾邮件。当攻击成功的时候,这个僵尸网络本身的规模将扩大。僵尸网络还经常用于发送垃圾邮件,作为实物交易和租借交易的一部分。这样,钓鱼攻击者、黑客、垃圾邮件制造者和病毒作者就能够利用僵尸网络销售信息和服务。僵尸网络还用来实施大规模拒绝服务攻击,攻击的目标包括政府和企业系统,甚至还攻击其它僵尸网络。一些新的僵尸网络能够升级到使用各种黑客工具和故障注入器等技术进一步攻击它们已经渗透进去的网络。例如,Asprox僵尸网络包含一种SQL注入攻击工具,另一种僵尸网络包括一个蛮力SSH攻击引擎。除了实施远程攻击之外,僵尸网络还能够实施持续的本地攻击,窃取被感染的系统及其用户的身份证和账户。
⑷ 电脑中了僵尸网络怎么办
僵尸网络解决方案
好消息是在威胁不断增长时,防御力量也在快速反应。如果是一家大型企业的负责人,可以使用一些商业产品或开源产品,来对付这些威胁。
首先是饥启吵FireEye的产品,它可以给出任何攻击的清晰视图,而无需求助于任何签名。FireEye的虚拟烂侍机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点,阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动,然后轻松地重新构建被感染的系统。在网络访问不太至关重要时,可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机,而无需使用签名技术或基于行为的技术。此外,SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。
着名的大型公司,如谷歌等,不太可能被僵尸网络击垮。其原因很简单,它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络,而这几乎是不太可能旁携的,因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击,如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。
不过,由于DDoS攻击活动太容易被发现而且强度大,防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。
⑸ 僵尸网络是什么
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。
Botnet
首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。
专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动。多数时候,僵尸电脑的根本不晓得自己已被选中,任人摆布。
僵尸网络之所以出现,在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
网络专家称:“重要的硬件设施虽然非常重视杀毒、防黑客,但网络真正的安全漏洞来自于住家用户,这些个体户欠缺自我保护的知识,让网络充满地雷,进而对其他用户构成威胁。”
Botnet的发展过程
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。
2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。着名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。
从良性bot的出现到恶意bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。
Botnet的工作过程
Botnet的工作过程包括传播、加入和控制三个阶段。
一个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,着名的bot样本AgoBot,就是实现了将bot程序的自动传播。
(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
(4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马。伪装成有用的软件,在网站、FTP 服务器、P2P 网络中提供,诱骗用户下载并执行。
通过以上几种传播手段可以看出,在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。
在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。
Botnet的分类
Botnet根据分类标准的不同,可以有许多种分类。
按bot程序的种类分类
(1)Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过500种已知的不同版本的Agobot(Sophos 病毒分析),这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计,以模块化的方式组合,添加命令或者其他漏洞的扫描器及攻击功能非常简单,并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的,因为它包含了监测调试器(Softice 和O11Dbg)和虚拟机(VMware 和Virtual PC)的功能。
(2)SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件,SDBot 由C语言写成。它提供了和Agobot 一样的功能特征,但是命令集没那么大,实现也没那么复杂。它是基于IRC协议的一类bot程序。
(3)GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的,GT是(Global Threat)的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC 脚本连接到指定的服务器频道上,等待恶意命令。这类bot程序由于捆绑了mIRC程序,所以体积会比较大,往往会大于1MB。
按Botnet的控制方式分类
(1)IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet,形成这类Botnet的主要bot程序有spybot、GTbot和SDbot,目前绝大多数Botnet属于这一类别。
(2)AOL Botnet。与IRC Bot类似,AOL为美国在线提供的一种即时通信服务,这类Botnet是依托这种即时通信服务形成的网络而建立的,被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。
(3)P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端,可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器,利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接,就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信,而当有一些bot被查杀时,并不会影响到Botnet的生存,所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。
Botnet的危害
Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型,Botnet还可能被用来发起新的未知攻击。
(1)拒绝服务攻击。使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于Botnet可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。
(2)发送垃圾邮件。一些bots会设立sockv4、v5 代理,这样就可以利用Botnet发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。
(3)窃取秘密。Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
(4)滥用资源。攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,Botnet无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少Botnet的危害。
Botnet的研究现状
对于Botnet的研究是最近几年才逐渐开始的,从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发,将其视为一种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。着名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从2004 年开始,在其每半年发布一次的安全趋势分析报告中,以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出,僵尸程序的盛行是2004年病毒领域最重大的变化。
学术界在2003年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析,如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005 年1月通过部署Win32蜜罐机发现并对近100个Botnet进行了跟踪,并发布了Botnet跟踪的技术报告。
Botnet的一个主要威胁是作为攻击平台对指定的目标发起DDos(分布式拒绝服务攻击)攻击,所以DDos的研究人员同样也做了对Botnet的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中,分析了基于IRC协议的bot程序的行为特征,在网络流量中择选出对应关系,从而检测出Botnet的存在。该组织的这个研究方法通过在plantlab中搭建一个Botnet的实验环境来进行测试,通过对得到的数据进行统计分析,可以有效验证关于Botnet特征流量的分析结果,但存在着一定的误报率。
国内在2005年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪Botnet的项目,对收集到的恶意软件样本,采用了沙箱、蜜网这两种各有优势的技术对其进行分析,确认其是否为僵尸程序,并对僵尸程序所要连接的Botnet控制信道的信息进行提取,最终获得了60,000 多个僵尸程序样本分析报告,并对其中500多个仍然活跃的Botnet进行跟踪,统计出所属国分布、规模分布等信息。
国家应急响应中心通过863-917网络安全监测平台,在2005年共监测到的节点大于1000个的Botnet规模与数量统计如图4所示。
这些数据和活动情况都说明,我国国内网上的Botnet的威胁比较严重,需要引起网络用户的高度重视。
CCERT恶意代码研究项目组在2005年7月开始对Botnet的研究工作,通过对大量已经掌握的Botnet的实际跟踪与深入分析,对基于IRC协议的Botnet的服务器端的特征进行了分类提取,形成对于Botnet 服务器端的判断规则,从而可以对网络中的IRC Server进行性质辨别。设计并初步实现了Botnet自动识别系统,应用于中国教育和科研计算机网络环境中。
可以看出,从国内到国外,自2004年以来对Botnet的研究越来越多地受到网络安全研究人员的重视,研究工作已经大大加强。但是这些工作还远远不够,在检测和处置Botnet方面还有许多工作要做。
Botnet的研究方法
对于目前比较流行的基于IRC协议的Botnet的研究方法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。
(1)使用蜜网技术。蜜网技术是从bot程序出发的,可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到Botnet中去,当确认其确实为Botnet后,可以对该Botnet采取相应的措施。
(2)网络流量研究。网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸计算机一般会长时间在线;三是僵尸计算机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第一种行为特征归纳为快速加入型,将第二、三种行为特征归纳为长期发呆型。
研究对应这两类僵尸计算机行为的网络流量变化,使用离线和在线的两种分析方法,就可以实现对Botnet的判断。
(3)IRC Server识别技术的研究。通过登录大量实际的基于IRC协议的Botnet的服务器端,可以看到,由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时,通过对bot源代码的分析看到,当被感染主机加入到控制服务器时,在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结,就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则,这样就可以直接确定出Botnet的位置及其规模、分布等性质,为下一步采取应对措施提供有力的定位支持。
以上三种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少,原因是由于其实现比较复杂,在网络中并不占有太大比例,同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展,对于P2P结构的Botnet的研究也将进一步深入。
⑹ 电脑僵尸网络病毒电脑肉鸡
肉鸡是被控制电脑的俗称
僵尸网络就是群体利用肉鸡进行网络攻击等违法行为的网络机群
网络病毒则是具备传染性的病毒程序
⑺ 电脑中了僵尸网络怎么办
计算机僵尸病毒(computer
virus)被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同,计算机僵尸病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大!
解决方法:
1、如果杀毒软件提示有病毒入侵,一定要立刻开启查杀,如果闪电查杀顺利解决掉病毒就最好,如果不行,就改为全盘查杀;
2、全盘查杀时间相对较长,可能查过两三个小时,这个时候一定要看看感染电脑的病毒类型,如果是感染性/病毒,建议你不要查杀了,等你查杀完你的整个硬盘就全感染了;
3、如果刚感染不久,最好的解决方法是立刻重装系统。
⑻ 电脑僵尸网络病毒如何查杀及防范
当然有啦,瑞星杀毒软件(Rising Antivirus)(简称RAV) 采用获得欧盟及中国专利的六项核心技术,形成全新软件内核代码;具有八大绝技和多种应用特性;是目前国内外同类产品中最具实用价值和安全保障的杀毒软件产品。瑞星杀毒软件的主动防卸和反钓鱼功能都非常强悍!瑞星防火墙主要是用来拦截网络攻击,阻止黑客攻击系统对用户造成的危险。 出站攻击防御:最大程度解决“肉鸡”和“网络僵尸”对网络造成的安全威胁。 恶意网址拦截:保护用户在访问网页时,不被病毒及钓鱼网页侵害。个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品,具有完备的规则设置,能有效的监控任何网络连接,保护网络不受黑客的攻击。