谈国内僵尸网络的现状与发展

　　一、引言

　　近年来随着金钱的不段诱惑，和体内荷尔蒙的过多分泌，造成很多技术性天才做着一夜暴富的春秋大梦，越来越多的黑色产物不断的诞生，从2003年国外某安全团队第一时间发现sql注射漏洞之后，到2004年国内几个天才高手开发出第一款NBSI国内第一款全自动后台扫描注入工具的诞生，随之而来的是更多的国内外网站被入侵，从国外的一份安全报告上来看，NBSI已经成为了国外检查相关站点进行渗透攻击测试的最有力武器，国人的伟大的智商让国外的黑客团队都大为钦佩，也算是洗刷了国外一直对我国黑客称之为脚本猴子的前耻，2006年的“熊猫烧香”，这个世界第一毒王的诞生，网络上一直传言着李俊靠这个代码获取了高达千万的巨额资金，在这里我是成否定态度的，这样的代码就是在黑色交易下面也不过几千块人民币而已，因为从整个的病毒源代码来看，李俊本人的编码水平并不能算高明，更多的来看就是一些网络上公布的源代码的摘抄，整个病毒就是一个代码堆叠。但是也因为国人缺乏安全意识而中招，成为了一些专业刷流量赚取国外广告费用的黑色产业链里面另一黑色经济组织的青睐。由于黑色经济的影响，造就了全世界到处都是“硝烟弥漫”，疯狂的蠕虫、讨厌的垃圾邮件、阴险的网络钓鱼、可恶的间谍软件，还有防不甚防的拒绝服务攻击天天都出现在我们越来越赖以生存的互联网中。大量的安全人士投入到与它们的斗争中，也提出了相当多的防范治理措施，研究工作日趋深入。但这些威胁并没有得到有效的控制，反而在技术上安全工作者面临了更多更大的挑战，造成这种现象的一个重要原因，是危害制造者开始采用一些既能保护、隐藏自身，又能更加高效地实施这些攻击的方法，僵尸网络就是其中之一。

　　僵尸网络(英文名称：Botnet)，有别于以往简单的安全事件，它是一个具有极大危害的攻击平台。利用该平台，攻击者能够发起各种各样的破坏行为，由于平台的搭建使得这些破坏行为产生聚合，造成比传统破坏行为更大的危害，并且使得攻击的防范难度增大。僵尸网络将攻击源从一个转化为多个，乃至一个庞大的网络体系，通过网络来控制受感染的系统，同时不同地造成网络危害，如更快地传播蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDoS攻击等，受控网络的存在，给危害追踪和损失抑制带来巨大的麻烦，这也就是僵尸网络迅速发展的原因。

　　目前，僵尸网络已经成为国内乃至全世界的网络安全领域最为关注的危害之一。

　　二、僵尸网络的原理和危害

　　(一)基本概念：

　　Bot：机器人(Robot)的缩写，是一段可以自动执行预先设定功能，可以被控制，具有一定人工智能的程序。通常带有恶意代码的Bot被秘密植入受控计算机，主动连接服务器接受控制指令，并依照指令完成相应功能。

　　Zombie：被包含恶意代码的Bot感染或能被远程控制的计算机，又名僵尸计算机。

　　IRCBot：利用IRC协议进行通信和控制的Bot。通常，IRCBot连接预定义的服务器，加入到预定义的频道中，接收经过认证的控制者发出的命令，执行相应的操作。运用IRC协议实现Bot、服务器和控制者之间的通信和控制具有很多优势，因此目前绝大多数的Bot都基于IRC协议。

　　Command & Control Server：IRCBot连接的IRC服务器称为命令和控制服务器，控制者通过该服务器发送命令，进行控制。

　　Botnet：僵尸网络，由大量能够实现恶意功能的Bot、Command &ControlServer和控制者组成，能够受攻击者控制的网络。攻击者在公开或秘密的IRC服务器上开辟私有的聊天频道作为控制频道，僵尸程序中预先已经设定好这些信息，当僵尸计算机运行时，僵尸程序就自动搜索并连接到这些控制频道，接收频道中的所有信息，这样就构成了一个IRC协议的僵尸网络。攻击者通过IRC服务器，向整个僵尸网络内的受控节点发送控制命令，操纵这些“僵尸”进行破坏或者窃取行为。通常频道设置为隐秘并加上密码防止非Bot用户进入，如图-1所示。除了IRC僵尸网络外，还存在一些其他的僵尸网络，如：

　　AOLBot：登陆到特定的AOL服务器等待控制者发送指令。AIM-Canbot和Fizzer就采用这种方式。

　　僵尸程序

　　可以通过木马、蠕虫进行传播。通常表现为在蠕虫体内包含Bot，当蠕虫成功感染计算机时，就释放出Bot；或者当木马、蠕虫成功侵入电脑后，从网上下载恶意Bot到本地主机。僵尸程序与蠕虫最大的区别就在于蠕虫具有主动传播性，另外蠕虫的攻击行为不受人控制，而相反僵尸程序的存在就是为了使得攻击者能够控制受感染的电脑。

　　僵尸程序

　　和木马有着功能的相似性——远程控制计算机，但在功能实现上略有区别，僵尸程序都能突破内网和防火墙限制，这是传统正向连接的木马无法比拟的。僵尸程序使用特有的IRC协议下的DCC命令或者其他载体进行传播，由于预设指令的存在，传播过程更显主动，且受感染的电脑仍受控制，这也比木马高明些。

　　间谍软件被用来窃取用户敏感信息，而僵尸程序也能实现这一功能，还能下载间谍软件到受影响主机。

　　类型 \ 特点传播性可控性窃密性危害性

　　僵尸程序

　　(Bot)可控传播高度可控有完全控制远程计算机

　　蠕虫

　　(Worm)主动非受控传播不可控无占用主机和网络资源

　　木马

　　(Trojan Horse)干预传播可控有完全控制远程计算机

　　干预传播不可控无破坏文件

　　间谍软件(Spyware)负载传播不可控严重窃密窃取信息

　　目前最常见的僵尸网络都是基于IRC协议的，这个应用层协议给人们提供了一个IRC的服务器和聊天频道进行相互的实时对话。IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，并建立、选择并加入感兴趣的频道，每个用户都可以将消息发送给频道内所有其他用户，也可以单独发给某个用户。频道的管理员可以设置频道的属性，比如设置密码、设置频道为隐藏模式。

　　攻击者通常编写自己的IRCBot，它只支持部分IRC命令，并将收到的消息作为命令进行解释执行。编写好僵尸程序，建立起自己的IRC服务器后，攻击者会采用不同的方式将僵尸程序植入用户计算机，例如：通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、利用社会工程学，通过电子邮件或者即时聊天工具，欺骗用户下载并执行僵尸程序、利用IRC协议的DCC命令，直接通过IRC服务器进行传播、还可以在网页中嵌入恶意代码等待用户浏览，2004年CNCERT\CC发现了1700多个网页利用此类技术欺骗诱惑用户访问而植入恶意程序。

　　当Bot在被感染计算机上运行后，以一个随机的Nickname和内置密码连接到特定的IRC服务器，并加入指定的频道。攻击者随时登陆该频道，并发送认证消息，认证通过后，随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。Bot读取所有发送到频道的消息或者是频道的标题，如果是已通过认证的攻击者的可识别的指令，则立即执行。

　　通常这些指令涉及更新Bot程序、传输或下载指定文件、远程控制连接、发起拒绝服务攻击、开启代理服务器等等。

　　随着Bot大范围的快速传播，攻击者渐渐将原本不相关的计算机联系起来，通过预设的僵尸程序的指令，连接到指定的IRC服务器，接受攻击者的控制，形成一个庞大的网络体系，这就是僵尸网络的初步形成。而后由这个平台发起更多的、更加隐秘的扩展入侵行为。

原文转自：http://www.ltesting.net