9 Botnet (殭屍網路)

 

 

殭屍網路 

殭屍網路(Botnet)這個術語是用來指「軟體機器人集合」,這詞通常和惡意軟體有關,但他也可以用來指「使用分散式運算軟體的電腦網路」。殭屍網路通常以他的惡意軟體名稱命名,也有許多在操作上使用相同惡意軟體家族的殭屍網路,但由不同的犯罪者所操作。殭屍網路可以被用來指任何一個機器人的群組像是IRC bots,但這個詞通常被用來指一群執行軟體的肉機(殭屍電腦),而這些軟體通常透過瀏覽器的弱點,在一個命令和控制的架構下讓使用者於下載檔案的時候安裝,例如:蠕蟲、木馬或者是後門。 

一個殭屍網路的組織者(又名機器牧羊人)(Robot Network ),病毒通常會隨著e-mail、即時通訊軟體或電腦系統漏洞,侵入電腦透過像是IRC的方法遠端控制整個群組,也通常是惡意的。通常命令與控制這個架構會透過IRC伺服器或是一個公共IRC網路中的特定頻道所發生,這種伺服器就是所謂的命令與控制伺服器(C&C)。但較有經驗的殭屍網路操作者會用scratch語言設計他們自己的命令協定但這種較少見。這些協定的組成包含:  

 

  1.  用來操作肉機的伺服器程式  
  2.  安裝在肉機上的用戶端程式  
  3.  將本身遷入在受害者電腦上的程式(讓正常電腦成為肉機的程式) 

這三支程式通常透過一種使用獨特加密系統的網路和彼此溝通,並利用這個網路來竊取資料和避免被偵測或是被外部入侵至此網路。

一個機器人通常在背景運行且使用一個convert channel(例如:the RFC1459 standard, twitter或IM)來和他的命令與控制(C&C)伺服器來溝通。新的機器人可以自動掃描他們的環境並且利用弱點或強度不夠的密碼來感染更多的電腦。通常機器人能掃描到的弱點越多或他們能感染的途徑越多,這機器人在殭屍網路控制者的社群中就越有價值。 

殭屍網路已經成為網際網路中重要的一部分。通常,一個殭屍網路會包含大量的連結和不同的網路形式。有時候一個控制者會隱藏一個IRC伺服器的安裝程式在企業或學術機構的網站,因為這些網站有高速的網路資源可以支持其他大量的機器人。 

目前已經有好幾個殭屍網路在網路上被找到並且鏟除了,荷蘭警方找到了一個含有一千四百萬台肉雞的殭屍網路,挪威電信也解散了一個一萬台肉機的殭屍網路。此外國際間也積極的展開合作致力於殲滅殭屍網路。根據估計約有四分之一連到網路上的個人電腦可能是殭屍網路的成員。 

 

組織 

殭屍網路伺服器通常會與其他殭屍網路伺服器取得聯繫,因此一個組織可能包含超過20台擁有高速網路連線的肉機被入侵當作伺服器。實際的殭屍網路社群通常包含好幾個控制者,而這些控制者彼此間鮮少有高度發展的指令架構;他們仰賴個體朋友對朋友的關係。 

殭屍網路的架構已經隨著時間逐漸成形,而並不是所有的殭屍網路在指令及控制上會使用相同的拓撲。典型的殭屍網路拓樸有:  

1. Star

Star拓樸仰賴單一的中央C&C伺服器與其他所有的機器人溝通。每一個機器人都直接從C&C伺服器接收指令。當一個機器人成功破壞受害者電腦,他通常會預先在這中央的C&C伺服器設定"Phone home",將自己註冊為殭屍網路成員並等待新指令。 

  • 好處

控制速度快:因為肉機和C&C伺服器直接溝通,因此指令或所竊取的資料在其間傳遞較快。


  • 壞處

單一節點癱瘓:如果中央的C&C伺服器被封鎖或移除,整個殭屍網路就會癱瘓。


2. Multi-Server

Multi- Server拓樸是邏輯上將Star拓樸擴張,而差別在於Multi-Serve拓樸有多個伺服器被用來提供C&C指令給肉機。若有其中一個伺服器壞掉或被永久移除,剩下的伺服器可以繼續維持控制整個殭屍網路。對於一個殭屍網路的操作者來說,架構一個Multi-Server的C&C伺服器要更多的計畫及努力來執行。然而同樣的一台肉機可以被Star拓樸或Multi-Server拓樸所使用。在不同的地理位置,若將多個C&C伺服器好好的分配,可以加快和其他相似定位的肉機溝通的速度。 

  • 好處

不會單一節點癱瘓:若其中一台C&C伺服器被封鎖或移除,殭屍網路控制這還是可以透過其他C&C伺服器控制整個殭屍網路。

地理優化:多個地理分散的C&C伺服器可以加快肉機間的溝通速度。


  • 壞處

需要預先計畫:因為事先計畫整個殭屍網路的基礎架構。


3. Hierarchical

Hierarchical拓樸反映了殭屍網路自己後期繁殖及妥協的動態方法。一個hierarchical的殭屍網路意指沒有一個肉機察覺得到自己在整個殭屍網路的位置。這樣子的設定讓安全研究人員更難去估計整個殭屍網路的大小。 

  • 好處

殭屍網路不易被察覺:若其中一台肉機被發現,並不會因此而暴露所有在殭屍網路中的肉機,也不太可能發現C&C伺服器。

 重新規劃容易 :殭屍網路操作這可以輕鬆地將其殭屍網路切割區塊來重新規劃或租給其他操作者。


  • 壞處

指令潛伏:因為指令要在殭屍網路內穿過多個溝通的分支,所以肉機接收到指令可能會有指令更新的延遲。這個延遲會讓某些殭屍網路攻擊變的困難。

4. Random 

 

一個使用Random拓樸的殭屍網路並沒有一個中央C&C的伺服器。相反的,指令會透過任何一台肉機發送到整個殭屍網路。這些指令通常都被簽署「官方授權的」,這就會告訴肉機自動將這些指令複製給所有的肉機。 Random殭屍網路有很高度的回覆特性從關閉以及劫持,因為它們缺乏一個中央的C&C伺服器以及機器人間有數條溝通的途徑。

然而,一個Random殭屍網路的成員也很容易被找出來,透過監視單一一台被感染的主機,然後觀察外部與他有溝通的電腦。

訊息的延遲是Random topologies殭屍網路的一個問題。然而機器人間有多條溝通管道卻使得他的延遲相對少於hierarchical topologies。 

  • 好處

 因為他缺乏一個中央的C&C並且他有許多條與其他機器人溝通的管道,以至於他能很容易從被關閉的狀態恢復過來。

  • 壞處

 Command的延遲: 機器人間的ad hoc nature links會導致C&C溝通變得無法預測,他會在某群機器人間引起很嚴重的延遲。 

Botnet enumeration: 被動的觀察單一一台被感染的主機,可以很容易得找出botnet中的其他主機


組成及開發 

以下是一個殭屍網路是如何被創造並且用來發送垃圾郵件的例子:  

  1.  一個殭屍網路操作者送出病毒或蠕蟲改染原本使用者的電腦,而其承載的是一個惡意的機器人程式。 
  2.  機器人程式在被感染的PC上登入一個特定的C&C伺服器(通常是一個IRC伺服器,但在某些例子中是Web伺服器)。 
  3.  一個垃圾郵件發送者向操作者購買殭屍網路的存取途徑。 
  4.  垃圾郵件發送者透過IRC伺服器發送指令給被感染的PC,使其送出垃圾郵件給郵件伺服器。



殭屍網路被用來做很多目的,包含DoS攻擊、建立或濫用發送SMTP郵件的垃圾郵件、點擊詐騙、Spamdexing、竊取程式序號、竊取登入資訊以及財務資訊(e.g. 信用卡號)。殭屍網路控制者社群最樂於攻擊像是學校、企業甚至是政府機關的電腦,因為他們擁有高速的頻寬跟高品質的機器是做為肉雞的最佳選擇。 


殭屍網路的生命週期 

機器牧羊人設定觸史機器人參數,例如感染線、承載量、竊取、C&C的細節  

  1. 註冊一個DDNS 
  2.  註冊一個固定IP  
  3.  機器牧羊人啟動或散佈新的機器人  
  4.  機器人散佈  
  5.  造成DDOS送給受害者的數量增加  
  6.  輸給與其競爭的殭屍網路 

 

 

攻擊類型 

  •  DOS攻擊 
  • 廣告軟體  
  • 間諜軟體  
  •  垃圾郵件  
  •  點擊詐騙(Click Fraud) 
  •  存取路徑號碼取代(Access number replacement) 
  • Fast Flux 


 


實例 

The Srizbi botnet, also known by its aliases of Cbeplay and Exchanger, is the world's second-largest botnet, and is responsible for sending out more than half of all the spam being sent by all the major botnets combined. The botnets consist of computers infected by the Srizbi trojan, which sends spam on command.

   風暴殭屍網路

  風暴殭屍網路與其蠕蟲之所以取其名是因為此殭屍網路藉由其所產生的蠕蟲透過Email感染接收者,而且特別的是此Email的標題都是和風暴相關的標題,例如,「風暴侵襲歐洲,230人死亡。」
後期的標題還出現了,「中國導彈擊落美國飛機。」以及「美國國務卿康多莉扎·賴斯踹了德國總理安格拉·默克爾一腳。」
以至於資訊專家們懷疑某些知名在逃的垃圾郵件大王,包括李歐·庫馬耶夫(Leo Kuvayev),可能參與或控制風暴殭屍網路的運作。
科技專欄作家丹尼爾·汀南(Daniel Tynan),在他一篇以羅伯特·克靈居禮(Robert X. Cringely)作為筆名的著作寫道:很大部份風暴殭屍網路之所以存在的過失得歸因於微軟與Adobe Systems。
其他研究指出,風暴殭屍網路取得犧牲品的主要方法是透過經常變換其社會工程體系來蠱惑用戶。
根據派崔克·朗諾(Patrick Runald)的研究,風暴殭屍網路有強烈的美國事務焦點,因此多半在美國國內有幹員在其組織中工作並支援其運作。不過,某些專家相信風暴殭屍網路控制者群是俄羅斯人,特別是俄羅斯商業網路涉有重嫌。其根據是援引風暴軟體提到了對在莫斯科的卡巴斯基公司的憎恨,並且文件裡含括了俄羅斯的字"buldozhka"(即「鬥牛犬」之意)
    


    專駭Mac平台 新殭屍網路程式透過P2P流傳

賽門鐵克(Symantec)研究員發現了首隻針對Mac平台進行攻擊的殭屍網路程式(botnet),並在著名網站Virus Bullentin的VB100電子報上發表該新程式OSX.Iservice以及其變種OSX.Iservice.B。該BOtnet透過(peer-to-peer,P2P)下載的盜版假iWork’09 (Mac文書處理軟體)以及Adobe Photoshop CS4進行散布。

賽門鐵克觀察到該受感染的檔案在熱門的P2P網路上流傳。這兩隻OSX.Iservice變種透過不同的方式騙取使用者的密碼,並藉以奪得系統執行程式的完整權限。

而淪為殭屍網路的電腦目前是被利用進行DDoS攻擊(分散式阻斷服務攻擊,distributed denial of service attack)。

企業員工或一般民眾若透過點對點程式下載盜版的iWork以及Adobe Photoshop CS4,便有可能成為第一隻Mac殭屍網路程式的受害者。目前已受此殭屍網路控制受感染主機約有數千台。據推測,撰寫者與實際散布者可能不是同一人。然而該殭屍網路程式採用具彈性且可擴充的方式撰寫,因此有可能在短期內就會出現其他變種。


    移動殭屍網絡即將現身,手機成肉機?

在網絡安全大會Black Hat上, 研究員Charlie Miller和Collin Mulliner展示一個利用短信溢出漏洞,黑客只需發送一段內容就可以接管你的iPhone手機。
一旦手機遭到入侵,黑客就可以使用手機上的所有功能,像發郵件,查看通訊錄,打電話,當然還有發送短信,將溢出代碼發送給更多的設備。

這一嚴重的漏洞可能讓大多數人第一次聽說了手機也可以形成殭屍網絡。然而,這並不是我們在手機上第一次目睹以創建殭屍網絡為目的黑客手段嘗試。這是否意味著我們即將面臨一種新的危險趨勢:即「殭屍」手機的誕生? 

iPhone上的短信入侵

根據福布斯網站上的消息(link),Black Hat大會上演示的這個短信溢出漏洞可以發送使其無法被人察覺的短信內容,而這可以讓潛在的黑客接管整部手機。唯一能提醒你可能被黑的信息就是這類短信只會包含一個方塊符號。如果你收到類似的短信,你唯一能做的就是立即關掉手機。

研究人員稱他們之前就警告過了蘋果,但是蘋果並沒有發佈補丁。蘋果對此也沒有出面澄清。 

第一個移動殭屍網絡?

假設上面提到的iPhone溢出漏洞可以在現實環境中實現,那麼它可以非常高效的入侵世界上所有未保護的iPhone(如果沒有發佈補丁的,在理論上講,所有iPhone手機都會受到牽連)。

黑客入侵完全可以將手機變成「肉雞」——這詞之前是用來指代被病毒,木馬入侵,並受到黑客控制的主機。
與其他被黑的主機一起,這些主機形成一個由「肉雞」機器構成的殭屍網絡

雖然殭屍網絡在計算機界很平常——據估計全世界有50%到80%的垃圾郵件是通過這些殭屍機器發送的——但由手機構成的殭屍網絡幾乎沒有先例。

賽門鐵克就披露了一個被稱為「Sexy Space」的短信安全威脅,這個安全威脅是由惡名昭著的惡意軟件SymbOS.Exy.C 生成,它是之前舊變種(link)的一個修訂版,之前的舊變種通常也會生成類似的安全威脅。這個安全威脅使用了簡單的社會工程學策略,它會發送名為「 Sexy View」,「Sexy Girl」, 和 「Sexy Space」的垃圾短信來誘使受害者點擊文本中包含的鏈接。

不過這個溢出漏洞目前只在運行Symbian操作系統的設備上找到,這款惡意軟件非常聰明,它可以終止手機上可能會用來手動終止安全威脅的某些程序。最初,它只在中國出現,但是後來在中東也出現了英文版。

這個威脅最可怕的地方在於它是由一個中央服務器控制的。這意味著黑客可以控制殭屍電腦的方式控制這些被黑的手機。

這不禁讓賽門鐵克的研究人員想這是否就是手機殭屍網絡在現實中的第一個實例呢。

 

防範措施 

如果一台機器從一個殭屍網路收到DOS的攻擊,幾乎沒有選擇存在。以一般殭屍網路地理上的散佈,會使辨識惡意機器的攻擊模式變困難,而大量的IP addresses並不會將自身給予個別案例的過濾。Passive OS fingerprinting可以辨認從殭屍網路發出來的攻擊:網路管理者可以藉由Passive OS fingerprinting所提供的資訊來設定更新的防火牆設備來阻擋殭屍網路的攻擊。最好的防護措施是利用專門的硬體來運行以頻率為基礎的入侵防禦系 統。 

一些殭屍網路使用免費的DNS主機服務,像是DynDns. org、No-IP.com或Afraid.org將子網域指向一個IRC伺服器來掩護機器 人。雖然這些免費的DNS服務本身沒有攻擊,但他們提供了對應的節點。若將這些服務移除,會癱瘓整個殭屍網路。最近,這些公司已經著手努力清除這些子網 域。殭屍網路社群認為這樣子的努力是"nullrouting",因為DNS主機服務通常會把這些犯罪的子網域重新導向一個無法存取得IP。

以上所提及的殭屍網路伺服器架構有內在的弱點問題。例如, 如果有人找到一台有殭屍網路伺服器頻道的伺服器,通常其他所有的伺服器及他們自己的機器人都會被揭發。如果一個殭屍網路伺服器缺少多餘,如果其中一台伺服 器失去連線就會導致整個殭屍網路癱瘓至少等到控制者決定一個新的主機空間。然而,較新的IRC 伺服器軟體有一些功能可以遮著其他連線的伺服器和機器人,如此一來如果其中一個頻道被發現就不會導致整個殭屍網路癱瘓。 

一些網路安全公司像是Afferent Security Labs、Symantec、Trend Micro、FireEye、和Damballa已經宣布提供措施來停止殭屍網路。然而一些像Norton、AntiBot目標在消費者,致力於保護企業或網路服務提供者。以主機為基礎的技術使用啟發法來辨識已經繞過普通防毒軟體的機器人行為。以網路為基礎的方法傾向使用上述的技術: 關掉C&C伺服器、nullrouting DNS entries或是完全關掉IRC伺服器。  Simplicita


網路拓撲,指構成網路的成員間特定的物理的即真實的、或者邏輯的即虛擬的排列方式。如果兩個網路的連接結構相同我們就説它們的網路拓撲相同,儘管它們各自內部的物理接綫、節點間距離可能會有不同。 

Spamdexing是從"spam(垃圾)","index(索引)"而來,意思是只要在網頁最後加上一千個關鍵字如「性」,就會吸引大批從搜尋引擎而來的愛好者拜訪! 


Reference Video

Reference Source

Other References

 


何謂 殭屍網路(BotNet)?

一、 BotNet簡介
  

什麼是BotNet病毒: BotNet俗稱「殭屍網路」(Zombie Network ),也稱「機器人網路」(Robot Network ),病毒通常會隨著e-mail、即時通訊軟體或電腦系統漏洞,侵入電腦,再藏身於任何一個程式裡。
 

什麼 是「Botnet傀儡網路」?跟「殭屍網路」是一樣的嗎?  


Botnet
傀儡網路另一個說法是殭屍網路,顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式,即會像傀儡一般任人擺佈執行各種 惡意行為,當一部電腦成為傀儡網路 Botnet的一部份 時,意味著Bot 操縱者可 將募集到的龐大網路軍團當作機器人來遠端遙控,從事各種非法入侵近年來尤以藉著「網頁掛馬」(入侵合法網頁植入惡意 連結)進行資料竊取危害甚遽。瀏覽網頁者在無法察覺的情況下,連線到殭屍網路背景植入間諜軟體等載惡意程式,並從此成為殭屍網路的一員,繼續壯大殭屍網路軍團。  

 

Bot 殭屍網路是網路犯罪 者最常使用來從事詐欺與竊盜的主要管道,除此之外,Bot 網路還可 用於針對商業網站發動聯合攻擊,讓這些網站無法使用。由於感染殭屍病毒多數沒有徵兆,一般受害者通常並不知道電腦已經遭受遠端控制。

 

二、 BotNet的特性

BotNet病毒與木馬程式的使用方式相仿,但木馬只會攻擊特定目標,較不會藉由被植入木馬的電腦主機,再去攻擊其他電腦。 反觀BotNet不但會攻擊其他電腦,而且它具有「蟲」的特性,會慢慢在網路空間中「爬行」,一遇到有漏洞的電腦主機,就自行展開攻擊。
  

駭客會藉由網路聊天軟體 IRC」,遠端控制受感染主機,發動網路攻擊,其中包括竊取私密資料、散佈垃圾郵件、發動阻斷式服務,BotNet具有自我複製並 主動散播的特性,受感染主機不易發覺,最近駭客製造出變種BotNet病毒,防毒軟體更不易偵測。當一個擁有數千、數萬甚至數百萬台電腦組成的殭屍網絡形 成後,壞蛋就可以招攬垃圾郵件生意,他們透過所控制的伺服器,下令殭屍電腦向郵件伺服器發送垃圾郵件。紐約電腦安全公司MessageLabs的年度報告 指出,現在有超過80%垃圾郵件來自殭屍網路。

 

三、Botnet傀儡網路/殭屍網路」的起源? 


1988
年時,Jarkko Oikarinen在芬蘭的 歐蘆大學(University of Oulu)設計出一 套線上聊天系統,稱之為Internet relay chat (IRC),隔年Greg LindahlIRC架構上撰寫 GM (Game Manager for the Hunt the Wumpus game),這是第一 IRC bot,當初的bot只是一個方 便管理系統的工具,並未有任何惡意的行為,然而現今的bot已經成為 網路安全的一大隱患,也成為駭客賺錢的有利工具。 

 

  

  

Botnet傀儡網路/殭屍網路」的組成有哪些? 


一般的Botnet 殭屍網路組 成可分為三部份:  

  •   botherder: 下達指令給botnet 殭屍網路成 員的司令官,為駭客本身  
  •   botclient: 被遙控的受 害者電腦,受害者通常不會察覺自己已經遭受感染,而成為botnet 殭屍網路 的一份子。  
  •   Command and control server (C&C server): 負責管理控 制整個botnet 殭屍網路的server,並將botherder的指令傳遞 botclient  

 

  

 

  

  

Botnet傀儡網路/殭屍網路」怎麼入侵我的電腦?  


當電腦的作業系統或 瀏覽器有漏洞時, 可能因為瀏覽了一個含有惡意程式的網站或是部落格,或是在網路上交換影音或音樂檔的同時, 就不知不覺也下載了病毒。駭客藉此遠端端控制你的電 腦,不只會竊取個人隱私、監控上網活動,電腦還會像傀儡一樣被控制,變成駭客竊取他人電腦資料的幫兇!  

目前病毒的成長多數 來自網路,透過網路傳播、自動下載新病毒或自動更新變種,不斷成長,最難以掌控的是透過招募不知情的Bot殭屍/傀儡電腦形成龐大的Botnet殭屍網路惡性循環。 

 

  

  

  

Botnet傀儡網路/殭屍網路」的威脅到底有多嚴重?  


以下是相關新聞及分 析報告,由這些數字即可看出網頁/Bot威脅的嚴重性。因此我們需要更加強防禦工作,以抵擋網頁威脅攻擊。

FBI: Botnet 受害者超過 1 百萬人
與垃圾郵件、病毒及蠕蟲比起來,Botnet(殭屍網路)可能是今日網際網路人口所面臨得最大安全威脅。在20076月美國聯邦調查局(FBI)發 佈的新聞中,調查局表示全球與Botnet有 關的犯罪中,受害者超過1百萬人。許多研究與專家估計,每年網路犯罪造成的 直接經濟影響大約有數十億美金。目前,FBI 估 計,單就美國的企業組織而言,每年因網路犯罪及身份竊取所導致的損失就高達約500億美元。由於實際上的網路犯罪主要是由Bot啟動,因此,這些損失的絕大部分都應該歸咎於Botnet 產業。

全台有三分之一電腦遭植入傀儡程式
刑事警察局科技犯罪防制中心主任李相臣也指出,台灣至少已有三分之一電 腦感染傀儡程式。這當中不乏 旅遊網站、人力銀行、網路銀行等電子交易網站,都遭受相關攻擊的手法,或遭潛入竊取重要帳戶資料等。

10部電腦就有1.1部成為非自願的傀儡電腦
Shadowserver Foundation宣稱在20075月,Bot數量已成長達驚人的3百萬。部分研究人員甚至提出與網際網路連線的11億部電腦中,有11%遭到感染而非自願地成為Bot網路的一部份。

7.5 IT安全人員,沒有意識到殭屍網路威脅
Network World 針對負責網路安全的394名讀者所做的調查中,令人驚訝的是,有43.7%的人表示,用戶端遭到入侵並不是很嚴重的問題,而有
30.2%
的人則說,他們從未發現任何證據顯示網路上的電腦曾經受到感染。
Gartner估計在2009年 度末大概會有75%的企業會感染上傀儡病毒  

 

三、 防堵「殭屍」進門 有訣竅

殭屍和其它惡意程式主要鎖定使用微軟視窗作業系統(Windows)的個人電腦,安裝Windows以外的作業系統,是對抗上述惡意程式的辦法之一,或者 隨時從微軟的網站獲取更新防毒程式,網路用戶還可選用FirefoxOpera等其他瀏覽軟體,替代IE。 

 

我要怎麼移除「Bot傀儡/殭屍病毒」? 

 

當您的電腦接觸到惡意連結/程式或殭屍病毒... 等可疑行為時,若你下載使用免 費的 WTP Add ON ,它會立即通知並為你擋下這些網頁威脅,不受 感染及損害。但若在安裝 WTP Add ON 之前就已經感染了網頁威脅或殭 屍病毒,WTP Add-On僅會跳出警訊通知。 

由於殭屍病毒通常都是電腦蠕蟲 (一種可以在電腦間散播的惡意程式),所以必須使用強大的防毒軟體才能對電腦進行掃描、解毒,以便移除殭屍病毒。如果您已經安裝防毒軟體,請下載最新的安 全更新並且掃描電腦。若尚未安裝防毒軟體,趨勢科技提供免費清毒工具iClean  毒快手免費解 毒,能有效將您電腦中的惡意程式清 除乾淨

 

實例 

風暴殭屍網路或稱為風暴蠕蟲殭屍網路,是一種受遠端控制的殭屍電腦(或直譯機器人網路)組成的網路。該網路是由暴風蠕蟲(一種透過圾電子郵件散播的木馬)連起來 的。研究預測截至20079月為止,風暴殭屍網路至少藏身於1百萬到5千萬部電腦系統裡 某處默默執行。其他訊息來源則折衷風暴殭屍網路的大小約為25萬到1百萬部電腦。更保守一點的估計,一位網路保全分析家宣稱他曾寫過一個軟體「爬」過殭屍網路,以此預測風暴殭屍網路控制了約16萬部受感染的電腦。 風暴殭屍網路首度於20071月左右發現,當時風暴蠕蟲約佔所有執行於微軟視窗平台電腦流氓軟體8% 

 

風暴殭屍網路已被用於各式各樣的犯罪行為。目前它的控制者以及風暴蠕蟲的作者仍未被查出。 風暴殭屍網路已展示出防禦性的行為,顯示它的控制者正積極 的保護殭屍網路,以避免種種追蹤或者終止該程式的嘗試。殭屍網路會針對某些試圖偵查它們的保全公司或者研究員進行攻擊。 保全專家喬·史都華(Joe Stewart)透露在2007年晚期,殭屍網路操作者開始進一步的分散其運作,可能計畫將風暴殭屍網路部份賣給其他的操作者。同時期某些報告指出風暴殭屍網路正在收縮,然而許多保全專家報告說他們認為殭屍網路仍舊是線上主要保全威脅,而且考量殭屍網路身為銀行詐欺個人資訊竊取、以及其他電子犯罪方面的共犯,美國聯邦調查局仍將其列為網路保全重點對象。 

 

20079月的報告指出殭屍網路已強大到足以將整個國家從網際網路上隔 離。根據預測,它每秒執行指令的速度足以超過某些世界頂尖的超級電。 然而,這並不是完全精確的比較。根據保全分析師詹姆士·透納(James Turner)說把殭屍網路與超級電腦拿來比較,就像拿狙擊手組成的軍團與核武器相比較一樣。英國保全公司馬歇爾(Marshal)的布萊德雷·安斯底斯(Bradly Anstis)說:「更值得擔憂的事是頻寬。只要算一下4百萬倍的標準ADSL連線。那是很大的頻 寬,這讓我相當擔憂。有像那樣的資源在他們手上分散在世界各地,高度密佈於很多國家內意味著他們可以對許多網頁寄存服務商投射非常有效的離散式攻擊。」

 

 

無聲的主流威脅 恐使電腦使用者成罪犯 

你是否曾經想過 自己的電腦會是攻擊他人系統的幫兇?或是成為助長地下經濟的一員?2003年在美 國奧勒岡州的Clark,利用botnet 殭 屍網路(或稱為傀儡網路),同時兩萬多台電腦對ebay發動DDoS攻擊;2005年一月 美國一位20歲的年輕人,使用botnet 殭屍網路癱瘓西雅圖-西北醫學中心的醫療系統,造成約一百五十萬美金的損失,並危害到該院病人的生命。2008年,來自中國的駭客發動botnet 殭屍網路大軍,DDoS攻擊 著名的巴哈姆特遊戲社群網站,要求該網站配合其宣傳,否則將繼續阻斷其服務;美國聯邦調查局指出,全球約有一百多萬台的電腦遭受bot控制成為botnet 殭 屍網路一員,在不知不覺中駭客已經利用你的電腦為所欲為了。

 

 

Bot 的威脅 

FBI: Botnet 殭屍網路受害者超過 1 百萬人 

全台有三分之一電腦遭植入殭屍程式 

10部電腦就有1.1部成為非自願的殭屍電腦
7.5 IT安全人員,沒有意識到殭屍網路威脅 

Gartner估計在本年度末大概會有75%的企業會感染上殭屍病毒

根據 Marshal 的報導,有六個 Botnet 必須為現今 85% 的垃圾郵件與網路釣魚電子郵件負責。 

Bot 怎麼植入我的電腦?
如果一 台作業系統和瀏覽器有漏洞的PC訪問了一個含有惡意程式的網站或是部落格,可能在不知 情的情況下就感染了。尤其是許多人喜歡在網路上交換影音或音樂檔,但下載同時可能不知 不覺就讓電腦中毒了,駭客藉此遠端端控制你的電腦,不只會竊取個人隱私、監控上網活動,電腦還會像殭屍一樣被控制,變成駭客竊取他人電腦資料的幫兇! 

 

根據趨勢科技 TrendLabs 統計指出在 平均每月至少有超過 1 百萬台 PC 遭殭屍網路相關惡意程式感染。 

在介紹botnet 殭屍網路行為之前,我們先來了解其歷史;1988年時,Jarkko Oikarinen在芬蘭的歐蘆大學(University of Oulu)設計出一套線上聊天系統,稱之為Internet relay chat (IRC),隔年Greg LindahlIRC架構上撰寫了GM (Game Manager for the Hunt the Wumpus game),這是第一個IRC bot,當初的bot只是一個 方便管理系統的工具,並未有任何惡意的行為,然而現今的bot已經成為網路安全的一 大隱患,也成為駭客賺錢的有利工具。 

一般的Botnet 殭屍網路組成可分為三部份: 

l          botherder: 下達指令給botnet 殭屍網路成員的司令官,為駭客本身 

l          botclient: 被遙控的受害 者電腦,受害者通常不會察覺自己已經遭受感染,而成為botnet 殭屍網路的一 份子。 

l          Command and control server (C&C server): 負責管理控制整個botnet 殭屍網路的server, 並botherder的指令傳遞給botclient

 

其架構如圖1;當一台電腦被感染而成為botnet 殭屍網路新成員時,先向連向C&C server註冊,並等候它的指令,而botherder透過C&C server得知目前botnet 殭屍網路的情況,有多少botclient成員?各分布在哪些 國家?可進行什麼樣的攻擊?如果botherder想要進行DDOS攻擊,只需下達指令給C&C serverC&C server再傳送給等待的botclient,此時所有的botclient將攻擊目標電腦,並將執行結果回傳給C&C server;由 此可知,駭客可躲在幕後假借他人之手達到己之所欲。

 

 Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯 

1  簡 易Botnet 殭屍網路架構圖 

Botnet 殭屍網路種類

  

Botnet 殭屍網路可依 照其網路拓樸模式及其傳輸協定來進行分類;標準的botnet 殭屍網路為星狀拓樸,如圖2,所有的botclient連向同一個C&C serverbotherder只要透過此server就 可控制整個botnet 殭屍網路,不過這也是其缺點,當server發生crash時,botherder將失去他辛苦建立的botnet 殭屍網路。

Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯

 

 

2   Botnet 殭屍網路星狀拓樸 

 

為了解決星狀Botnet 殭屍網路的問題,因此有了多重server拓樸,如圖3,當其中一台server發生錯誤時,其他的server將取代它,使botnet 殭 屍網路能正常運作,這種拓樸提高了botnet 殭屍網路的容錯能力,相對的,它需要更高深的設計技 巧,因為server之間要能彼此溝通,並隨時可取代其他server進行工作。

 

 Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯

 

3   Botnet 殭屍網路多重server拓樸 

       

4所描繪的為階層式botnet 殭屍網路,它提供極高的可擴充性,不需要任何的C&C server,所以也就無須擔心server crash造成的影響,雖然當一個高階層的botclient斷線,會導致一部分的botclients失聯,但是至少不會讓整個botnet 殭屍網路失去作用。

 

 Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯

4   Botnet 殭屍網路階層式拓樸 

       

擁有最佳強健度 的莫過於botnet 殭屍網路隨機式拓樸(5)botclient彼此相連,沒有中控server,任何一個botclient失去聯繫,也不會影響到其他的botclientbotherder可下達指令給botnet 殭 屍網路中的任一個botclient,再由它廣播給其他的botclients,但其設計難度也是較高的,botherder必須確認每一個botclient都可以收到指令,而且只會收到一次,避免重複執行。

 

 

Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯

5   Botnet 殭屍網路隨機式拓樸 

       

接下來我們來談 談botnet 殭屍網路常用的一些傳輸協定;botnet 殭屍網路最常用的傳輸協定為IRC,它提供了線上聊天的機制,bot連上C&C server,並加入一個botherder已經預先開好的聊天頻道,然後等著botherder在頻道上下達指令,在執行完指令後,bot再將結果回傳到頻道上;IRC botnet 殭屍網路之所以盛行的關係,除了有完整的C&C server架構外,還因為可在網路上找到其source code,駭客只要稍加修改,即可成為一個新的bot,例如:GTBotGaobot。也因為IRC bot的 盛行,所以有相當多公司的防火牆已經封鎖此種傳輸協定,為了突破防火牆,許多bot改採HTTP,並且 使用pull command的作法,因為大部分的防火牆都不擋outgoing的封包,所以由bot使用URLsbotherder進行溝 通,並由其中的query string來取得指令。上面所介紹的傳輸方式都需有 中控server,如果bot採用Peer-to-Peer協定,則可形成先前所提及的隨機式拓樸,不用擔心C&C server crash;那麼bot如何利用P2P來進行溝通呢?通常P2P bot都是使用檔案分享的機制,bot下載特定檔案,檔案內容為botherder的指令,不過P2P bot也 有其天生的缺點,因為它沒有中控server,無法在同一時間將指令下達給所有的bots,所以不能達到要進行DDoS攻擊的時效性要求。Botnet 殭屍網路所採用的傳輸模式之多,甚至連MSN雀屏中選MSN botnet 殭 屍網路利用微軟的MSN server充當其C&C serverbot模仿成真 正MSN程式隱藏在受害者機器上,而botherder早就預先為它註冊好一個MSN帳號,並加入其好友名單中,所以便可隨時直接對其下指令,這種方式的好處是無須管理其C&C server (微軟會自行管理),並可躲過偵測軟體的監控,但缺點為微軟只要檢查其MSN server,即可發現異常,並可進行控管。

Botnet 殭屍網路會造成什麼 危害呢?

以下我們將介紹botnet 殭屍網路所造成的威脅;

l          擴張地盤:對botherder而言,如果botnet 殭 屍網路愈大,代表其攻擊效果越顯著,且在地下經濟中,出租botnet 殭屍網路是以bot個數來計價,所以bot的首要任務就是感染其他電腦,擴張其版圖。

l          DDoS攻擊:Botnet 殭屍網路最常被使用的攻擊模式就是DDoS攻擊,來進行對敵對公司的報復行動,或是勒索一般企業,其攻擊技巧大都為TCP Syn floodUDP floodSmurf attack

l          安裝廣告軟體:廣告主通常 是依照其廣告軟體安裝的電腦數量,來給予散佈者相對應的金錢,所以bot會在受感 染的機器上安裝廣告軟體,並盡可能的安裝到其他電腦中。

l          散佈垃圾郵寄及釣魚郵件: 現在大部分的電子郵件系統都可偵測可疑的郵件IP來源,並加以封鎖,但是現今的垃 圾郵件或是釣魚郵件是由botnet 殭屍網路中的bot發出,每一台受bot感染的 機器都是spammer,令mail server防不勝防。

l          非法儲存或偷取智慧財產: 偷取電影、遊戲或音樂等等智慧財產也是bot擅長手段,botherder甚至會利用botnet 殭屍網路建立一個網路儲存空間,將偷來的檔案,儲存 在受bot感染的電腦中,botherder無需花錢購買硬體儲存資料,也不用擔心被智財權的擁有者提告,所以當你的電腦中多出一些莫名的電 影或是音樂時,不要高興太早,先檢查自己是否受到bot的感染。

l          破解密碼:當駭客想要破解 某個密碼時,電腦常需要做到長時間大量的運算,如果採取分散式運算,將可以大大縮短破解時間,因此botherder會將運算工作分給botnet 殭屍網路中的bots來進 行。

l          點擊詐欺:網路廣告的收費 方式通常是依照被點擊的次數來向廣告主收錢,因此botmet會針對特定的廣告進行點 擊攻勢,為botherder帶來獲利。

偵測Botnet 殭屍網路的工具 

看了以上的介 紹,你是否擔心自己也是botnet 殭屍網路的成員呢?沒關係,現在就為讀者介紹偵測bot的工具,讓它無所遁形:

l          趨勢科技WTP :

這是一套針對網 路安全所開發的軟體,其功能有網頁信譽評等服務技術、防止Downloader病毒下 載器、偵測惡意網站連結及偵測bot…等功能,並採用雲端技術,減少使用者電腦的負載;我們將著重在於其偵測bot的功能做介紹。

 

 

Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯 

 6趨勢科技WTP 主頁面

  

請至WTP Add On拆除網頁惡意黑心連結 免費下載,在安裝成功後,請選擇設定(7),可看見有關bot偵測的相關設定,

 

  

 Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯

7 趨勢科技WTP設定畫面 

當你的系統嘗試 連到可疑server,或是SMTP流量異 常,又或者使用IRC傳送可疑指令時,它都將出現警告視窗(8),告知你的電腦有疑似bot的行為, 要求你進行進一步的病毒掃描,

 

 

 Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯

8 WTP偵測到bot行為時的警告視窗 

如果你的電腦上 已有安裝防毒軟體,請進行全機掃毒,否則請利用線上掃毒來清除可疑的病毒。 

結論 

Botnet 殭屍網路一直 以來都是駭客賺錢的有利工具,所以會他們想盡辦法讓自己的botnet 殭屍網路難以 偵測,例如使用HTTPS傳輸,減少傳送內容被過濾的可能性,使用洋蔥路由(onion routing)或是fast-flux networks來加強其隱匿性,避免其C&C server被鎖定;botherder彼此間甚至是互為敵對,當你的電腦被某一個bot感染時,它也會嘗試去 移除其他的bot,藉由打擊敵人來提高自己的獲利;因為botnet 殭屍網路的變化多端,利用現成的技術來增加其偵測難度,所以botnet 殭屍網路的偵測技術將是網路安全的一大挑戰。

 

參考資料: 

http://domynews.blog.ithome.com.tw/post/1252/58742 

http://domynews.blog.ithome.com.tw/post/1252/36516