《一种基于Android系统的移动僵尸网络模型》由会员分享,可在线阅读,更多相关《一种基于Android系统的移动僵尸网络模型(10页珍藏版)》请在金锄头文库上搜索。
1、- 1 - 一种基于Android系统的移动僵尸网络模型 王鹏 1,2,张方娇1,2,翟立东2* (1. 北京邮电大学计算机学院;北京 100876 2. 中国科学院信息工程研究所;北京 100093) 5 摘要: 移动互联网的发展为传统的僵尸网络向移动互联网蔓延提供了条件, 移动僵尸网络开 始出现。为在未来的攻防战争中取得先机,本文从攻击者角度出发,结合移动僵尸网络的发 展趋势, 以 Android 系统为平台对移动僵尸网络构建的关键技术进行了研究, 提出了一种基 于 Android 系统的移动僵尸网络模型。 该模型以社会工程学手段作为僵尸程序的主要传播途 径,采用基于中心结构和 SMS-H
2、TTP 协议的 C 2. Institute of information engineering, Chinese academy of Sciences, Beijing 100093) Abstract: The development of the mobile Internet provides conditions for traditional botnet to 20 spread to mobile Internet and some rudiments have emerged. Combined with the development tendency of mobil
3、e botnet, this paper presents a Android-based mobile botnet model from the perspective of attackers.The model adopts social engineering means as the main route of transmission of bots and builds a C mobile botnet; Android; C application; defense 30 0 引言 随着移动通信技术、 移动终端技术以及手机操作系统的发展, 以智能手机为代表的移动 终端逐渐具
4、有了媲美传统 PC 的强大的计算能力、方便的网络接入途径、更多的功能以及更 大的存储空间,再加上日益庞大的用户基数,为移动僵尸网络的出现创造了条件。 35 到目前为止,已经出现了多个移动僵尸网络的雏形,跨越目前流行的多个平台,包括 Symbian1、iOS2和 Android3,其中 Android 系统以其开放性和庞大的市场份额,逐渐成 为攻击者青睐的目标,各种针对 Android 系统的恶意软件层出不穷4,文献5认为 Android 系统极有可能成为移动僵尸网络的下一个目标。 与传统的僵尸网络不同,移动僵尸网络的僵尸主机不再是各种 PC 和服务器,而是以智40 能手机为代表的各种移动终端,
5、 控制者通过传播恶意软件感染大批智能手机, 然后通过某种 - 2 - 途径发布控制命令来控制被感染手机进行一系列恶意攻击,如电话骚扰、短信轰炸、发送垃 圾短信和邮件、定购高额 SP 服务等,给手机用户造成严重的隐私及财产安全威胁。 网络攻防的双方永远是呈双螺旋上升的, 与僵尸网络的对抗不能只停留在对已有僵尸网 络的研究上, 还要先攻击者一步, 从攻击者的角度出发研究攻击者最有可能采用的关键技术。45 目前针对移动僵尸网络的研究大都集中在如何设计一个符合移动智能终端特点的 C&C(命 令控制信道) 612。文献13指出由于智能手机与 PC 在硬件结构和应用场景方面的差异, 使得移动僵尸网络的构建
6、存在诸多挑战: 1. 智能手机的电量有限,如果僵尸程序进行频繁的活动,很容易引起电量异常; 2. 作为手机特有的命令控制信道,短信、GPRS/3G 的大量使用会造成资费异常; 50 3. 手机的联网状态和 IP 地址不断变化,难以建立高效的 P2P 网络。 针对上述挑战,结合移动僵尸网络的发展趋势,本文提出了一种基于 SMS-HTTP 和智 能僵尸程序的移动僵尸网络的模型,该模型以 SMS 和 HTTP 作为主要的 C&C 协议,同时 赋予僵尸程序一定的自主性,用以提高整个僵尸网络的健壮性。 1 僵尸程序的传播 55 作为移动僵尸网络构建的第一步, 首先要做的就是要让目标手机感染僵尸程序。 目
7、前包 括僵尸程序在内的手机恶意软件的传播手段主要分为两类,一类是技术手段,如漏洞利用, 另一类则是非技术手段,其中尤以社会工程学手段为主。目前已经出现的手机僵尸程序,大 部分都是利用各种社工手段引诱用户下载并安装, 如发送带有恶意链接的短信, 或者伪装成 有吸引力的应用软件等。在 Android 系统中,主要是通过发布恶意软件到应用商店或者将恶60 意软件集成到 ROM 中等手段进行传播。 实际上研究者们并未将研究重点放在僵尸程序的传 播上。 从成本和传播效率的角度来看, 社工手段仍是目前最流行的也是最有效的传播手段。 所 以在我们的模型中, 仍以社工手段作为主要的传播途径, 以下列出了目前最
8、有可能被攻击者 利用的传播方式: 65 将僵尸程序以预装软件的方式集成到 ROM 中然后发布; 仿造热门应用然后发布到非正规渠道(如论坛); 伪装成具有正常功能的软件然后发布到应用商店; 2 命令控制信道 与病毒、木马相比,僵尸网络的最大不同在于其存在传输控制命令的 C&C(命令控制70 信道),从某种程序上来说,C&C 就是一个僵尸网络的核心,它连接着控制者与被控制者, 承担着桥梁作用。一般说来,命令控制信道包括以下三个方面的内容13: 拓扑结构即 C&C 的网络拓扑结构,文献13将拓扑结构分为四类:纯中心结构、 纯 P2P 结构、组合结构和混合结构。目前已经出现的移动大部分以纯中心结构为主
9、,僵尸 手机只向命令服务器请求命令, 并不与其他僵尸节点通信, 这是因为智能手机的联网状态和75 IP 地址都不断变化, 并且没有足够的公共 IP 地址, 所以难以建立有效的基于 IP 的 P2P 网络。 对手机来说,最常用的也是最有效的寻址方式是通过手机号码,很多研究者都利用这一点, 将手机号码作为手机的寻址方式,从而建立起基于纯 P2P 结构的移动僵尸网络7。文献10 提出了一种混合结构的移动僵尸网络模型, 在该模型中, 命令服务器和僵尸节点呈层级分布, 同层命令服务器之间采用纯 P2P 结构,命令服务器和僵尸节点之间采用纯中心结构。 80 - 3 - 协议和算法控制者和僵尸程序共同使用的
10、协议和相关算法,最常用的协议如 IRC、 HTTP 等以及常用的用以提高僵尸网络健壮性的算法,如 Domain Flux、URL Flux 等。而对 移动僵尸网络来说,其僵尸节点手机拥有着传统 PC 僵尸节点所没有的协议,最常 见的就是 SMS(Short Message Service,这其实是一种服务,这里我们将其视为一种协议, 一种涉及通信双方和运营商的通信协议),SMS 因时效性强、离线用户可延迟接收等优点,85 被研究者用于 C&C 的构建710。另一方面,Android 系统十分强调网络服务,具有十分便 捷的网络接入途径, 所以 HTTP 也是攻击者和研究者钟爱的协议, 这也使得僵
11、尸网络的控制 方式更加类似于传统的基于 PC 的僵尸网络,可以更充分地利用互联网上的资源。 资源控制者利用的软硬件资源以及控制者和僵尸程序共同利用的中间节点集合, 如 公共的 IRC/HTTP/Web2.0 服务器、P2P 网络节点、跳板机等。在移动僵尸网络中,最常利90 用的资源则是各种 web 服务器和运营商的基础设施(用来承担 SMS 业务和数据业务等), 如文献11使用的图片服务器和微博服务器。 对移动僵尸网络而言,需要寻找一个适合其特点的命令控制信道。拓扑结构方面,目前 基于 P2P 结构的移动僵尸网络大都以 SMS 作为僵尸节点之间的通信协议,这在很大程度上 会加大僵尸手机的资费消
12、耗, 从而引起异常而被用户察觉进而删除僵尸程序, 所以目前来看95 P2P 结构并不适合作为移动僵尸网络的拓扑结构。协议方面,SMS 和 HTTP 是目前最常用 的两种协议,两者各有优势,SMS 具有健壮性好、离线用户可延迟接收等优点,而从单位 信息的资费消耗来看,HTTP 却比 SMS 要低,所以可以将两者进行有机结合。资源方面鉴 于智能手机的强大的联网能力,可以借助传统 Internet 的公共服务器来构建 C&C。 综合以上分析及已有的移动僵尸网络的 C&C 设计方案,本文提出了一种利用短信和公100 共云服务器构建的 C&C 模型,如图 1 所示。 图 1 C&C 设计 Fig.1 D
13、esign of C&C 105 在该设计中, 控制者可以通过两种方式向僵尸手机发送控制命令 (假设控制者已经掌握 了僵尸手机的名单),一种是通过短信,控制者可以利用短信群发器之类的工具向僵尸手机 群发控制短信(包含控制命令的短信),另一种则是利用现在流行的低成本的云服务平台来 搭建命令服务器, 控制者将控制命令以某种方式发送到云端, 然后僵尸程序联网访问服务器 取得控制命令。 110 - 4 - 中国中国科技论文在线科技论文在线 这种设计的特点在于采用了线上线下两种方式, 当僵尸程序无法联网时, 控制者便可通 过短信(SMS)来控制僵尸手机,而且短信是由控制者发送的,资费消耗由控制者承担,从
14、 而保证手机程序不会产生资费异常。 当可以联网时, 僵尸程序便可以通过 HTTP 协议向云端 服务器请求命令,从而减少控制者发送控制短信的数量,降低攻击成本。 2.1 控制短信的生成控制短信的生成 115 虽然我们可以让僵尸程序在收到并读取控制短信后将其删除, 但不能保证不被用户发现 (比如一些安全软件为防止短信被恶意删除,会将收到的短信在第一时间备份),而且一些 定制的 ROM 会通过修改 Android 的权限机制来限定应用程序的此类操作,如文献14中开 发的 Openpdroid 模块可以限定程序对 Android 数据库的访问,所以为保证在无法删除控制 短信的情况下不容易被发现控制短信
15、的异常, 需要对控制短信的内容进行伪装, 比如可以伪120 装成用户习以为常的垃圾短信,天气提醒短信等,这样用户即使看到也不会怀疑,图 2 展示 了从控制命令的明文生成一条垃圾短信的过程。 图 2 控制短信生成过程 125 Fig.2 Process of Controlling SMS 2.2 控制流程控制流程 完成控制短信的生成后, 借助短信群发工具和云端服务器, 就构建起了移动僵尸网络的 命令控制信道。命令控制流程如下: 1. 获取在线僵尸名单:手机感染僵尸程序后会将其手机号等信息上传至云端服务器或130 者发送至控制者指定的邮箱(当服务器无法访问时),这样控制者就可以掌握僵尸手机的名
16、单和状态。 2. 发布命令:控制者通过短信群发器等工具向在线僵尸手机发送控制短信,或者将控 制命令以某种方式(如图片11)发布到服务器。 3. 获取命令:僵尸程序会时刻监视手机收到的每一条短信,在确认是控制短信后僵尸135 程序会从中提取出控制命令;或者手机接入网络时与云端通信取得控制命令的载体(如图 - 5 - 中国中国科技论文在线科技论文在线 片),然后从中解析出控制命令,最后按照命令发动攻击。 4. 更新状态: 僵尸手机并不是时时刻刻都处于在线状态 (即可以随时接收命令的状态) , 比如关机、没信号、手机号被销等因素,僵尸手机需要定期向控制者汇报自己的在线状态, 这样控制者才能时刻掌握每部僵尸手机的状态并动态地发布命令。 140 3 智能僵尸程序 如果说 C&C 是一个僵尸网络的 “神经系统” , 那僵尸程序就是受神经元信号控制的 “肌 肉”,神经系统的重要性不言而喻,然而真正执行动作的是肌肉,同样,在僵尸网络中,真 正的恶意攻击是由僵尸程
