僵尸网络概念与特性
僵尸网络(Botnet)是指攻击者利用入侵手段将僵尸程序(bot or zombie)植入目标计算机上,进而操纵受害机执行恶意活动的网络,如图 所示。
僵尸网络的构建方式主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等,早期的 IRC 僵尸网络主要以类似蠕虫的主动扫描结合远程漏洞攻击的方式进行构建。目前,攻击者以网页挂马(drive-by download)的方式构造僵尸网络。
僵尸网络运行机制与技术
僵尸网络的运行机制主要由三个基本环节构成。
- 僵尸程序的传播。通过利用计算机网络系统的漏洞、社会工程学、犯罪工具包等方式,传播僵尸程序到目标网络的计算机上。
- 对僵尸程序进行远程命令操作和控制,将受害目标机组成一个网络。僵尸网络可分为集中式和分布式,僵尸程序和控制端的通信协议方式有 IRC、HTTP。
- 攻击者通过僵尸网络的控制服务器,给僵尸程序发送攻击指令,执行攻击活动,如发送垃圾电子邮件、DDoS 攻击等。
僵尸网络为保护自身安全,其控制服务器和僵尸程序的通信使用加密机制,并把通信内容嵌入正常的 HTTP 流量中,以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制,以防范控制消息伪造和篡改。
僵尸网络防范技术
1. 僵尸网络威胁监测
通常利用蜜罐技术获取僵尸网络威胁信息,部署多个蜜罐捕获传播中的僵尸程序(Bot),记录该 Bot 的网络行为,然后通过人工分析网络日志并结合样本分析结果,可以掌握该 Bot的属性,包括它连接的服务器(DNS/IP)、端口、频道、密码、控制口令等信息,从而获得该僵尸网络的基本信息甚至控制权。
2. 僵尸网络检测
根据僵尸网络的通信内容和行为特征,检测网络中的异常网络流量,以发现僵尸网络。
3. 僵尸网络主动遏制
通过路由和 DNS 黑名单等方式屏蔽恶意的 IP 地址或域名。
4. 僵尸程序查杀
在受害的目标机上,安装专用安全工具,清除僵尸程序。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
