时间:2015-12-25 15:55 文章来源:http://www.lunwenbuluo.com 作者:江健,诸葛建伟,段海新 点击次数:
层次化僵尸网络是近年发现的新型僵尸网络.其对bot的角色进行区分,利用一些具有公共IP地址和在线时间较为稳定的bot作为中间层来隐藏真实的控制服务器,同时提供更大的灵活性.这类僵尸网络的代表有Storm,Waledac,Koobface等.
Kanich等人通过对Storm的进一步研究发现,Storm是一个分为3层的层次化网络.底层的workerbots被用来发送垃圾邮件,workerbots通过Overnet网络来找到proxybots,真正的控制服务器masterservers隐藏在作为代理层的proxybots之后.
被认为可能是Storm的直接后继的Waledac具有比Storm更为复杂的结构,如所示,botmaster以下分为4个层次,依次为UTS,TSL,Repeater和Spammer.其中,Spammer和Repeater是被感染的bot主机,TSL和UTS是botmaster设立的控制服务器.Waledac使用一种称为fast-flux的技术将Repeater作为Spammer和TSL之间的代理.这种分层代理的技术使Waledac在保持隐蔽性和灵活性的同时,不会像Storm那样被完全枚举.
早期的Koobface是一种集中式僵尸网络,bot直接和控制服务器进行通信.在被研究机构和ISP发现和关停后,Koobface进行了升级,利用一部分bot作为代理节点来隐藏控制服务器,升级后的层次化结构使得Koobface的控制服务器很难被发现和关停.
1.3.2僵尸网络的自身安全性
僵尸网络命令与控制机制的一个重要属性是其自身安全性,一种僵尸网络是否容易被发现和破坏、是否有明显的弱点和漏洞,是攻防双方关注的重点.我们从僵尸网络的隐蔽性和匿名性、加密机制、认证机制、网络发现(bootstrapping)机制这几个方面对僵尸网络的自身安全性进行分析,并介绍相关的技术发展.
1.3.2.1隐蔽性和匿名性
僵尸网络的隐蔽性和匿名性基本上是由其通信方式所决定的.集中式的僵尸网络bot之间的匿名性很好,但控制服务器的隐蔽性很差,很容易暴露.采用P2P方式的僵尸网络能够很好地隐藏控制服务器,但由于P2P协议的特点,导致bot之间的匿名性很差,Storm和Nugache都因为这方面的弱点被研究者枚举出大量的bot.层次化的僵尸网络能够在保持控制服务器隐蔽性的同时,还能提供较好的匿名性.
1.3.2.2加密机制
采用明文通信的僵尸网络的行为更容易被分析,而且更容易提取出内容特征串来通过流量内容进行检测.加密机制的采用,在近来发现的僵尸网络中已经比较常见,Zeus,Torpig,Nugache,Mega-D,Waledac等都采用了简单或复杂的加密手段.
1.3.2.3认证机制
认证机制是指bot和控制服务器之间是否验证身份、控制消息是否有防止伪造和篡改的机制,这是目前僵尸网络比较薄弱的一个环节.Torpig的bot没有对服务器进行认证,使得研究者能够对其进行劫持而获得大量的数据.Storm也缺少对控制消息的保护,研究者利用这一点对其控制消息进行篡改,注入自己控制的邮件地址和域名来研究其行为.少数僵尸网络设计了一定的认证机制,Waledac通过签名和时间戳对其地址更新消息进行了保护,Conficker也使用了签名来保证其更新不会被假冒.
1.3.2.4网络发现机制
网络发现机制是指bot如何找到控制服务器或者通过其他的bot加入到僵尸网络中.对于防御方来说,如果能够找到并切断bot和控制服务器之间的联系,就能从根本上关停整个僵尸网络.早期的集中式僵尸网络多采用简单的固定IP或者域名的方式来发现控制服务器,P2P僵尸网络多借助于P2P协议的动态发现机制.近年来的攻击者开始采用多个域名或IP并结合更新机制来提高僵尸网络的抗关停能力,还发展出了domain-flux,fast-flux等新技术.下面我们对僵尸网络的各种网络发现机制及技术进行总结和分析.
(1)固定IP地址或域名
bot通过预先设置的静态IP地址或者域名来找到控制服务器.这种方式最为简单,多数僵尸网络包括一些较大的僵尸网络,如Mega-D,Rustock等仍然使用这种方式.虽然理论上静态的地址和域名容易被追踪和关停,但由于域名或IP地址的管理一般跨越网络管理域甚至行政区域,实际操作起来并不容易.一些大规模的僵尸网络设定分布广泛的多个静态IP地址或域名,再结合内建的更新机制,由于不同的网络管理域的处置行动很难同步进行,使得这样的僵尸网络具有很好的抗关停能力.
(2)随机扫描
bot通过随机发送数据包来尝试找到其他的bot或者控制服务器.这种方式效率低下而且很容易被检测,目前只发现Sinit僵尸网络采用了这种机制.
(3)P2P动态发现机制
P2P僵尸网络大多借助于P2P网络中的动态发现机制来加入僵尸网络,如Phatbot利用Gnutella的cacheserver来注册和发现其他的bot,Storm和Nugache维护动态更新的peer列表来加入网络.这种机制不容易被关停,但具有匿名性差的弱点,容易暴露其他的bot.
(4)domain-flux
domain-flux是指bot使用某种算法生成大量的域名,然后逐个地对这些域名进行尝试以试图与控制服务器取得联系的一种技术.Conficker,Torpig等使用了这种技术,使得botmaster可以灵活地在多个域名上转移控制服务器.Conficker.C的域名生成算法每天生成50000个不同的域名,分布在110个顶级域.这种技术具有很好的抗关停能力:一方面由于域名数量巨大;另一方面,这些域名跨越多个管理区域,无论是抢注、屏蔽或关停这些域名都很难实行,即使对这些域名的状态进行跟踪也需要耗费大量资源.
(5)fast-flux
fast-flux是一种利用DNS实现的动态代理技术.其基本原理是,利用一些具有公共IP地址的bot作为代理(flux-agent),控制服务器域名被解析为这些flux-agent的IP地址,真实的服务器隐藏在flux-agent背后提供服务.为保持可用性和隐蔽性,与域名关联的flux-agent的IP地址一直不停地发生变化.fast-flux又分为singleflux和double-flux.
botmaster使用fast-flux技术可以将大量的bot形成一个动态的代理网络,使得隐藏在背后的控制服务器很难被发现,僵尸网络的真实结构和工作机制也可以得到隐藏.良好的隐蔽性使得botmaster可以长时间使用固定的服务器,而且可以将大量的恶意网站停放在一个服务器上,便于对其资源进行管理.除了僵尸网络控制服务器的域名,fast-flux网络还被用来解析恶意软件宿主网站、网络钓鱼网站以及其他恶意站点的域名.
1.3.3僵尸网络命令与控制机制的比较和发展趋势
我们选择5种不同时期的僵尸网络,对其命令与控制机制进行比较,给出(由拓扑结构和网络发现机制所决定的)从效率和连通性、加密机制、认证机制、隐蔽性以及匿名性这6个方面的比较结果.我们对每项属性给出从0~3个星号的评价,问号表示未知.从表中可以看出:早期的IRC僵尸网络(Rbot)具有很好的效率,但在自身安全性方面较差;后来的僵尸网络明显加强了自身安全性.Torpig采用的domain-flux技术增强了控制服务器的隐蔽性和抵抗关停的能力,但缺少对服务器的认证导致被研究者劫持;Nugache这种随机连接的网络具有很好的连通性和隐蔽性,主要弱点是匿名性差;Storm与Nugache一样,在匿名性方面有明显的弱点,并且没有对控制消息进行认证和保护;近年出现的Waledac在各方面都有针对性的设计,其工作机制已经没有明显的弱点.
2、僵尸网络防御技术研究进展
对于防御方来说,想要有效地应对僵尸网络的威胁,面临以下几个问题:
(1)哪些入侵手段和僵尸程序是目前正在广泛流行和传播的,其传播方式、范围及攻击形式是怎样的;(2)僵尸网络是如何工作的,采用了什么样的技术;(3)僵尸网络的活动具有怎样的特征;(4)如何准确地检测出被感染的主机或者已存在的僵尸网络;(5)什么样的技术和策略能够有效地遏制僵尸网络的发展.
针对以上问题,安全社区逐渐形成了包括安全威胁监测、工作机制分析、特征分析、在线检测以及主动遏制的整体防御体系.下面我们从这5个环节来分别介绍近年来僵尸网络防御技术的研究进展.
2.1僵尸网络威胁监测
对僵尸网络的活动进行监测,捕获僵尸网络的传播和攻击行为及新的僵尸程序样本,了解僵尸网络的活动范围以及发展态势,是僵尸网络防御体系的第1个环节.这方面的工作主要在于研究和开发新的监测技术以及部署覆盖面广泛的监测系统.
蜜罐(honeypot)是对僵尸网络进行监测的最为有效的技术.随着僵尸网络的发展,蜜罐的思想和技术在近几年中得到了很大的发展.针对僵尸网络的多样化传播和攻击方式,研究者也设计实现了各种类型蜜罐,如能够虚拟网络拓扑并模拟各种网络服务的honeyd、针对服务端溢出漏洞攻击和网络扫描的nepenthes以及后续升级版本dionaea、收集垃圾邮件的spampots、针对Web服务攻击的Glastopf、能够检测网页是否存在恶意脚本的Capture-HPC以及PHoneyC,还有专门针对SSH服务弱口令扫描的Kippo等.另外,还有一些安全监测方面的研究也借鉴了honeypot的思想.HoneyBuddy创建和维护陷阱帐号来捕捉即时通信网络中的恶意软件和链接传播,Stringhini等人在流行的社交网站中设立虚假的honey-profile来测量社交网站中spam的发送情况.
一些安全公司、研究组织和个人以及CERT机构在蜜罐的研发以及分布式安全监测系统的部署方面起到了积极的推动作用.国际蜜网项目(thehoneynetproject)组织引导了大量开源蜜罐的开发工作,并积极推动分布式蜜网的部署工作.Shadowserver等组织也积极开展了僵尸网络监测的工作,并对一些流行的僵尸程序,如Conficker,Zeus,SpyEye等的活动进行了持续的跟踪.国内CNCERT/CC也部署了包括蜜网系统的互联网安全监测平台,并以此为基础定期发布安全报告.教育网应急响应组CCERT也正在推进CERNET分布式蜜网的部署工作.
2.2僵尸网络工作机制分析
联系方式
随机阅读
热门排行