《发现和跟踪僵尸网络解析课件》由会员分享,可在线阅读,更多相关《发现和跟踪僵尸网络解析课件(28页珍藏版)》请在金锄头文库上搜索。
1、北京大学计算机科学技术研究所北京大学计算机科学技术研究所发现和跟踪僵尸网络诸葛建伟诸葛建伟诸葛建伟诸葛建伟狩猎女神项目组狩猎女神项目组狩猎女神项目组狩猎女神项目组The Artemis ProjectThe Artemis Project北京大学计算机科学技术研究所北京大学计算机科学技术研究所北京大学计算机科学技术研究所北京大学计算机科学技术研究所内容n n狩猎女神项目组狩猎女神项目组n n僵尸网络概述僵尸网络概述n n发现僵尸网络发现僵尸网络n n跟踪僵尸网络跟踪僵尸网络n n总结与进一步工作总结与进一步工作2 2北京大学计算机科学技术研究所北京大学计算机科学技术研究所狩猎女神项目组The
2、Artemis Project北京大学计算机科学技术研究所北京大学计算机科学技术研究所项目组简介n n蜜罐和蜜网技术研究组蜜罐和蜜网技术研究组蜜罐和蜜网技术研究组蜜罐和蜜网技术研究组l l北京大学计算机研究所信息安全工程研究中心北京大学计算机研究所信息安全工程研究中心北京大学计算机研究所信息安全工程研究中心北京大学计算机研究所信息安全工程研究中心n nHoneynetHoneynet Research Alliance Research Alliance中国唯一团中国唯一团中国唯一团中国唯一团队队队队- Chinese - Chinese HoneynetHoneynet Project Pr
3、ojectn n项目组网站项目组网站项目组网站项目组网站: : n n项目组邮件列表项目组邮件列表项目组邮件列表项目组邮件列表: :n nHoneynetCNHoneynetCN邮件组邮件组邮件组邮件组: : n20052005年年年年7 7月份非常话题月份非常话题月份非常话题月份非常话题专栏专栏专栏专栏4 4北京大学计算机科学技术研究所北京大学计算机科学技术研究所项目组目前研究工作n n蜜网维护及攻击案例分析蜜网维护及攻击案例分析蜜网维护及攻击案例分析蜜网维护及攻击案例分析l l结合第三代蜜网技术和结合第三代蜜网技术和结合第三代蜜网技术和结合第三代蜜网技术和honeydhoneyd虚拟蜜罐
4、工具虚拟蜜罐工具虚拟蜜罐工具虚拟蜜罐工具l l“ “利用蜜网技术深入剖析互联网安全威胁利用蜜网技术深入剖析互联网安全威胁利用蜜网技术深入剖析互联网安全威胁利用蜜网技术深入剖析互联网安全威胁” ”- -20052005年全国计算机大会年全国计算机大会年全国计算机大会年全国计算机大会n n恶意软件的捕获与分析恶意软件的捕获与分析恶意软件的捕获与分析恶意软件的捕获与分析l l重点针对僵尸网络重点针对僵尸网络重点针对僵尸网络重点针对僵尸网络n n蜜网数据分析与可视化研究蜜网数据分析与可视化研究蜜网数据分析与可视化研究蜜网数据分析与可视化研究l l网络环境信息获取工具网络环境信息获取工具网络环境信息获取
5、工具网络环境信息获取工具NetEyeNetEyel l攻击数据统计分析与可视化工具攻击数据统计分析与可视化工具攻击数据统计分析与可视化工具攻击数据统计分析与可视化工具l l基于多源数据融合框架的攻击态势评估技术研究基于多源数据融合框架的攻击态势评估技术研究基于多源数据融合框架的攻击态势评估技术研究基于多源数据融合框架的攻击态势评估技术研究5 5北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸网络概述北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸网络起源n nEggdropEggdrop botbot: 1993: 1993n n良性良性良性良性BotBot工具工具工具
6、工具: Spiders, : Spiders, n n恶意恶意恶意恶意BotBot工具工具工具工具l lDDoSDDoS攻击工具攻击工具攻击工具攻击工具: 1999: 1999年年年年1111月月月月 SubsevenSubseven 2.1 2.1l lIRC IRC BotBot: : GTBotGTBot、SdBotSdBotl l结合蠕虫传播机制结合蠕虫传播机制结合蠕虫传播机制结合蠕虫传播机制: : Agobot/GaobotAgobot/Gaobot, , rBot/SpybotrBot/Spybotl lP2P P2P BotBot: : PhatbotPhatbot7 7北京大学
7、计算机科学技术研究所北京大学计算机科学技术研究所僵尸网络危害n n分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击l l20042004年年年年6 6月份月份月份月份- -AkamaiAkamai关键域名服务器被僵尸网关键域名服务器被僵尸网关键域名服务器被僵尸网关键域名服务器被僵尸网络络络络DDoSDDoSl l在线讹诈在线讹诈在线讹诈在线讹诈n n发送垃圾邮件发送垃圾邮件发送垃圾邮件发送垃圾邮件l l抓取电子邮件地址、打开抓取电子邮件地址、打开抓取电子邮件地址、打开抓取电子邮件地址、打开Open RelayOpen Relay服务、发送服务、发送服务、发送服务、发送垃
8、圾邮件垃圾邮件垃圾邮件垃圾邮件n n从僵尸主机上收集敏感信息从僵尸主机上收集敏感信息从僵尸主机上收集敏感信息从僵尸主机上收集敏感信息l l在线银行账号在线银行账号在线银行账号在线银行账号/ /密码,信用卡信息,注册码,在线密码,信用卡信息,注册码,在线密码,信用卡信息,注册码,在线密码,信用卡信息,注册码,在线游戏账号游戏账号游戏账号游戏账号/ /装备装备装备装备 8 8北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸网络的基本网络结构9 9北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸程序的定义特性n n一对多控制关系一对多控制关系n n僵尸程序与其他恶意软件的区别
9、僵尸程序与其他恶意软件的区别传播性传播性传播性传播性可控性可控性可控性可控性窃密性窃密性窃密性窃密性危害等级危害等级危害等级危害等级僵尸程序僵尸程序僵尸程序僵尸程序可控传播可控传播可控传播可控传播(1 1对多)可控对多)可控对多)可控对多)可控有有有有完全控制,高完全控制,高完全控制,高完全控制,高后门后门后门后门不具备不具备不具备不具备(1 1对对对对1 1)可控)可控)可控)可控有有有有完全控制,高完全控制,高完全控制,高完全控制,高蠕虫蠕虫蠕虫蠕虫主动传播主动传播主动传播主动传播一般没有一般没有一般没有一般没有没有没有没有没有网络流量,高网络流量,高网络流量,高网络流量,高Spyware
10、Spyware被动传播被动传播被动传播被动传播一般没有一般没有一般没有一般没有有有有有信息泄漏,中信息泄漏,中信息泄漏,中信息泄漏,中病毒病毒病毒病毒用户干预用户干预用户干预用户干预一般没有一般没有一般没有一般没有没有没有没有没有感染文件,中感染文件,中感染文件,中感染文件,中1010北京大学计算机科学技术研究所北京大学计算机科学技术研究所IRC僵尸程序的基本活动步骤1111北京大学计算机科学技术研究所北京大学计算机科学技术研究所发现僵尸网络北京大学计算机科学技术研究所北京大学计算机科学技术研究所如何发现僵尸网络?n nIDSIDS方法方法方法方法l l必须充分了解僵尸程序,提取指纹信息作为必
11、须充分了解僵尸程序,提取指纹信息作为必须充分了解僵尸程序,提取指纹信息作为必须充分了解僵尸程序,提取指纹信息作为IDSIDS检测的特征检测的特征检测的特征检测的特征n n行为监测法行为监测法行为监测法行为监测法l l僵尸程序行为模式:快速连接控制信道、长时间僵尸程序行为模式:快速连接控制信道、长时间僵尸程序行为模式:快速连接控制信道、长时间僵尸程序行为模式:快速连接控制信道、长时间在线发呆、在线发呆、在线发呆、在线发呆、n n蜜罐捕获法蜜罐捕获法蜜罐捕获法蜜罐捕获法l l通过部署蜜罐对僵尸程序进行捕获样本通过部署蜜罐对僵尸程序进行捕获样本通过部署蜜罐对僵尸程序进行捕获样本通过部署蜜罐对僵尸程序
12、进行捕获样本l l通过对网络行为进行监视和分析僵尸网络控制通过对网络行为进行监视和分析僵尸网络控制通过对网络行为进行监视和分析僵尸网络控制通过对网络行为进行监视和分析僵尸网络控制信道信息信道信息信道信息信道信息1313北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸程序的传播方式n n主动攻击漏洞主动攻击漏洞l l攻击漏洞,通过攻击漏洞,通过攻击漏洞,通过攻击漏洞,通过shellcodeshellcode注入僵尸程序注入僵尸程序注入僵尸程序注入僵尸程序l l与蠕虫主动传播方式结合:与蠕虫主动传播方式结合:与蠕虫主动传播方式结合:与蠕虫主动传播方式结合:AgobotAgobot, ,
13、 rBotrBot n n邮件病毒邮件病毒n n即时通讯软件即时通讯软件: MSN性感鸡性感鸡n n恶意网站脚本恶意网站脚本 n n特洛伊木马特洛伊木马 1414北京大学计算机科学技术研究所北京大学计算机科学技术研究所恶意软件捕获器mwcollectn n针对主动攻击漏洞传播的恶意软件针对主动攻击漏洞传播的恶意软件(包包括僵尸程序括僵尸程序)n n模拟模拟RPC DCOM、LSASS等知名漏洞等知名漏洞n n对主动攻击漏洞恶意软件注入的对主动攻击漏洞恶意软件注入的shellcode进行分析,获取恶意软件传进行分析,获取恶意软件传播使用的播使用的URLn n通过通过URL获取恶意软件样本获取恶意
14、软件样本1515北京大学计算机科学技术研究所北京大学计算机科学技术研究所其他的僵尸程序来源n nInternational mwcollect Alliancel l共享捕获的恶意软件样本资源共享捕获的恶意软件样本资源共享捕获的恶意软件样本资源共享捕获的恶意软件样本资源n n与反病毒厂商的样本交换与反病毒厂商的样本交换l lPanda SoftwarePanda Softwaren n公开的恶意软件分析报告资源公开的恶意软件分析报告资源l lSandbox.norman.noSandbox.norman.no1616北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸程序样本分析n n
15、任务获取僵尸网络控制信道信息任务获取僵尸网络控制信道信息任务获取僵尸网络控制信道信息任务获取僵尸网络控制信道信息l l控制服务器控制服务器控制服务器控制服务器host/porthost/portl l连接口令连接口令连接口令连接口令l l加入的频道名加入的频道名加入的频道名加入的频道名/ /频道口令频道口令频道口令频道口令l l用户名和昵称的结构用户名和昵称的结构用户名和昵称的结构用户名和昵称的结构 CHN|xxxxxCHN|xxxxx? ?n n方法方法方法方法l l沙箱沙箱沙箱沙箱: : sandbox.norman.nosandbox.norman.nol l蜜网在线攻击分析技术蜜网在线
16、攻击分析技术蜜网在线攻击分析技术蜜网在线攻击分析技术l l逆向工程技术逆向工程技术逆向工程技术逆向工程技术1717北京大学计算机科学技术研究所北京大学计算机科学技术研究所跟踪僵尸网络北京大学计算机科学技术研究所北京大学计算机科学技术研究所HoneyBotn n僵尸网络跟踪工具僵尸网络跟踪工具l lHoneyClientHoneyClient客户端蜜罐技术客户端蜜罐技术客户端蜜罐技术客户端蜜罐技术l l能够根据给定的控制信道信息连入僵尸网能够根据给定的控制信道信息连入僵尸网能够根据给定的控制信道信息连入僵尸网能够根据给定的控制信道信息连入僵尸网络,并隐蔽地对僵尸网络活动进行跟踪和络,并隐蔽地对僵
17、尸网络活动进行跟踪和络,并隐蔽地对僵尸网络活动进行跟踪和络,并隐蔽地对僵尸网络活动进行跟踪和审计的蜜罐僵尸工具审计的蜜罐僵尸工具审计的蜜罐僵尸工具审计的蜜罐僵尸工具l l同时跟踪多个僵尸网络同时跟踪多个僵尸网络同时跟踪多个僵尸网络同时跟踪多个僵尸网络l lHoneybotHoneybot原型系统:原型系统:原型系统:原型系统:python + python + ircirc client libclient lib1919北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸网络控制服务器分布2020北京大学计算机科学技术研究所北京大学计算机科学技术研究所僵尸网络规模分布2121北京大学
18、计算机科学技术研究所北京大学计算机科学技术研究所一个典型的僵尸网络规模增长情况2222北京大学计算机科学技术研究所北京大学计算机科学技术研究所使用mIRC跟踪僵尸网络2323北京大学计算机科学技术研究所北京大学计算机科学技术研究所跟踪到的僵尸网络扫描活动2424北京大学计算机科学技术研究所北京大学计算机科学技术研究所跟踪僵尸网络的一些经验n n相当大比例的僵尸网络生命周期较短相当大比例的僵尸网络生命周期较短相当大比例的僵尸网络生命周期较短相当大比例的僵尸网络生命周期较短l l首先使用自动化跟踪工具确定其存活情况、规模首先使用自动化跟踪工具确定其存活情况、规模首先使用自动化跟踪工具确定其存活情况
19、、规模首先使用自动化跟踪工具确定其存活情况、规模等信息,再进行选择跟踪等信息,再进行选择跟踪等信息,再进行选择跟踪等信息,再进行选择跟踪n n伪装性伪装性伪装性伪装性l l昵称和用户名必须与其他僵尸程序一致昵称和用户名必须与其他僵尸程序一致昵称和用户名必须与其他僵尸程序一致昵称和用户名必须与其他僵尸程序一致l lDisable IRCDisable IRC协议的协议的协议的协议的CTCP (Client to Client CTCP (Client to Client Protocol)Protocol)功能功能功能功能n n使用使用使用使用SOCKSSOCKS代理保证跟踪源的隐蔽性代理保证跟
20、踪源的隐蔽性代理保证跟踪源的隐蔽性代理保证跟踪源的隐蔽性l l如果被僵尸网络控制者识破:如果被僵尸网络控制者识破:如果被僵尸网络控制者识破:如果被僵尸网络控制者识破:DDoSDDoS2525北京大学计算机科学技术研究所北京大学计算机科学技术研究所进一步工作n n增大恶意软件的捕获范围增大恶意软件的捕获范围增大恶意软件的捕获范围增大恶意软件的捕获范围l l分布式部署分布式部署分布式部署分布式部署l l重定向机制将针对业务网络的恶意软件感染重定向到蜜罐重定向机制将针对业务网络的恶意软件感染重定向到蜜罐重定向机制将针对业务网络的恶意软件感染重定向到蜜罐重定向机制将针对业务网络的恶意软件感染重定向到蜜
21、罐n n网关网关ARPARP重定向机制重定向机制n n接入交换机接入交换机DNATDNAT重定向机制未分配重定向机制未分配IPIP、VDSVDSn n更有效的分析僵尸程序更有效的分析僵尸程序更有效的分析僵尸程序更有效的分析僵尸程序l l蜜网在线数据分析技术蜜网在线数据分析技术蜜网在线数据分析技术蜜网在线数据分析技术n n更全面地跟踪僵尸网络更全面地跟踪僵尸网络更全面地跟踪僵尸网络更全面地跟踪僵尸网络l lHoneyBotHoneyBot工具的进一步工作工具的进一步工作工具的进一步工作工具的进一步工作n n全网范围内监控僵尸网络全网范围内监控僵尸网络全网范围内监控僵尸网络全网范围内监控僵尸网络l l根据根据根据根据HoneyBotHoneyBot获得的僵尸程序指纹特征及行为特征进行检获得的僵尸程序指纹特征及行为特征进行检获得的僵尸程序指纹特征及行为特征进行检获得的僵尸程序指纹特征及行为特征进行检测和封堵测和封堵测和封堵测和封堵2626北京大学计算机科学技术研究所北京大学计算机科学技术研究所谢谢!狩猎女神项目组狩猎女神项目组狩猎女神项目组狩猎女神项目组/The Artemis Project/The Artemis P诸葛建伟,诸葛建伟,诸葛建伟,诸葛建伟,2727北京大学计算机科学技术研究所北京大学计算机科学技术研究所Q&A狩猎女神项目组/The Artemis P诸葛建伟,
