2010 年第 6 期
第 20 卷总第 90 期
铁道警官高等专科学校学报
Joumal of Railway Police College
2010
V 0 1. 20 Serial 90
匾尸网络的最新发展
列、栩
(铁道警官高等专科学校警察管理系,河南郑州 45∞53 )
摘 要:最近几年"僵尸网络"的危宰愈演愈烈,它的类型包括 IRC Bot 、AOL Bot 和P2P Bot 等,而且正在
进行着更加快速的演变。但僵尸网络的结构并没有太大的变化,其典型利用方式基本可以分为五个步骤。
而僵尸网络的主流发展趋势就是不断利用系统插件、新的文件格式和 系统进行传播。但只要注意
在网络和主机两个层面进行全方位的防范僵尸网络"依然是可控的。
关键词:僵尸网络;文件格式
中图分类号D631 文献标识码 C 文章编号 1009 -3192( 2010 )06 -0024 -04
一、僵尸网络的原理和类型
(一)原理
僵尸网络是指采用一种或多种传播手段,将大
量主机感染 Bot 程序,从而在控制者和被感染主机
之间所形成的一个可一对多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联网
上的大量主机,而被感染的主机将通过一个控制信
道接收攻击者的指令,组成一个僵尸网络。之所以
用僵尸网络这个名字,是为了更形象地让人们认识
到这类危害的特点:众多的计算机在不知不觉中如
同中国古老传说中的僵尸群一样被人驱赶和指挥
着,成为被人利用的一种工具。
BotNet 是目前发起拒绝式服务攻击的主要手
段,而且也是制造垃圾邮件的罪魁祸首。比如最普
遍的拒绝服务攻击步骤是:
首先,新的客户端加入预先设定的 IRC 通道并
对命令进行监昕;
然后,控制者通过命令系统发送到 IRC 服务
器;
接着,所有 BotNet 客户端通过 IRC 通道取得这
条命令;
随后,所有 BotNet 客户端对指令设定的目标发
收稿日期 :2010 - 08 - 28
动拒绝服务攻击;
最后, BotNet 客户端向控制者汇报指令执行的
情况。
从这个事例我们可以看出僵尸网络的优势:控
制者不会做出任何的攻击行为,发起攻击的计算机
和服务器都不是控制者本身的机器,控制者要做的
只是要注意隐藏自己发送命令的通道信息。攻击结
束之后控制者也可以很方便地切断和所控制的 Bot
Net 客户端连接的通路并删除客户端内部的日志文
件从而使其置身事外,而从受害计算机反向追踪到
控制者是很困难的,而且信息随时都可能被销毁。
(二)名词解释
Bot:机器人英文简写,可以自动地执行预先设
定的程序,可以被预定义的指令操纵,拥有一定 AI
的程序。它不-定是恶意代码,只有用来实现恶意
功能的 Bot 才是恶意代码。
BotNet( 僵尸网络) : Bot 组成的可通信、可被攻
击者控制的网络。
(三) Bot 类型
IRC Bot:利用 IRC 协议进行通信和控制的机器
人。主动连接至 IRC 服务器上,随时准备接收控制
者的命令。
AOL Bot:登录到美国在线的 AOL 服务器随时
作者简介:孙栩,男,江苏淮安人,中国人民公安大学 2009 级高校教师计算机应用技术专业硕士研究生,铁道警官高等专
科学校警察管理系助教。
.24.
孙栩:僵尸网络的最新发展
接收控制命令。
游戏 Bot、聊天室 Bot、管理 Bot、雅虎谷歌等搜
索引擎的 Bot 等良性 Bot。
二、僵尸网络的演变
Bot 并不是天生就是恶意程序,它的出现是为
了给计算机用户进行辅助性的操作,使用户摆脱一
些繁琐重复性的劳动。初期的 Bot 是出现在 IRC 聊
天服务中的,它和 IRC 服务器的出现都是在上世纪
80 年代末期。因为当时技术的限制,直到上世纪
末,第一个基于 IRC 服务器的蠕虫病毒才出现,它
可以通过 Bot 对 IRC 服务器进行远程操控。它已经
具有现代 Bot 的大部分功能,如:获得机器本身信
息、窃取账户和密码信息、静默式更新、DDos、上传
下载文件等功能。而本世纪初出现的新型 Bot 突破
了 IRC 的界限,不但可以通过 IRC 服务对主机进行
控制,还会自动搜寻其他方面的漏洞如有名的 RPC
服务漏洞,进行攻击,然后把该主机加入僵尸网络
中。这使其防御起来更加困难了。
(一) BotNet 网络结构
上图中最右边的为控制者的主机或服务器,中
部为 IRCserver,左边是多个受控 Bot 的主机。
(二)它的生成和利用方式
生成和利用 BotNet 攻击的最基本方式:
第一步:制作或者修改一个 Bot;
第二步:在感染木马病毒的计算机或服务器上
运行这个 Bot;
第三步:当 Bot 进入内存进程后,以设定的昵称
和原始密码进入事先准备好的频道,攻击者也会随
时登录它;
第四步:攻击者向 Bot 进行控制身份认证, Bot
经过核实然后进入预备状态,等待该控制者发出命
令后进行预先设定的攻击;
第五步 :Bot 截取巳核实为控制者发送的所有
信息,如果该信息为攻击命令则开始攻击。
三、僵尸网络的危害
僵尸网络组建了一个进行攻击和控制 Bot 的复
杂的平台,通过该平台能够用控制 Bot 的方法发起
多种类全方位的攻击行为,导致大面积的基础公众
网和银行、交通等重要系统的崩溃,而且能够造成国
家机密、科研机密、商业机密以及个人隐私被他人掌
握,同时也可以被网络诈骗等违法犯罪活动利用。
以下介绍的是已经广泛应用的僵尸网络用来发动的
攻击性行为。
(一 )Dos
使用僵尸网络发动拒绝服务攻击是目前最广泛
运用的攻击方式之一,攻击者能够给本身所操纵的
任何 Bot 发送指令,让它们在某些预先设定的时间
内一齐连续地向指定的网络主机或服务器发送访问
请求,能够有效地进行拒绝服务攻击。由于僵尸网
络可以通过木马病毒的方式传播以增加 Bot 的数
量,所以它的规模可以无限扩大,而且通过僵尸网络
进行的拒绝服务攻击有很好的同步性,所以它所进
行的拒绝服务攻击会有更大的破坏力,而且更加难
以防范。
(二)非法利用资源
僵尸网络被攻击者用来进行大量网络资源的消
耗活动,降低用户的网络带宽等各项性能,还会造成
经济上的损失;它常常被用作散播广告性软件,通过
该软件,被控制者的浏览器自动进人某些商业性网
站从而使控制者赚取广告费;它可以控制主机使主
机在不知情的情况下存储非法数据。
(三)窥视隐私和盗取账号
僵尸网络的控制者可以从 Bot 中窥探用户的个
人隐私和各种关键信息,如用户账号、密码、银行卡
号等。而且病毒程序可以用 sniffj町等数据截取工具
来探测对自己有利的网络流量数据,以便获得网络
流量中的秘密。
(四)发送垃圾邮件
Bot 可以通过开通 sockv4 和 sockv5 代理来利用
僵尸网络发送大量的垃圾邮件,而且控制者也能够
通过简单的步骤隐藏本身的 IP 地址。
四、新型僵尸网络
2009 年,互联网上新出现的僵尸网络的攻击手
段更加多样化。僵尸网络的控制在空间上的距离和
范围也分布得更加广阔。新技术的产生很好地增强
了僵尸网络的的效率以及机动性。更多的正常企业
和公司的网站被僵尸网络攻击,影响到了它们的核
.25.
孙栩:僵尸网络的最新发展
心竞争力,甚至被盗取了商业机密。
最近出现的僵尸网络的攻击一般采用管理程序
技术。管理程序技术是一种模仿计算机系统的管理
程序使得操作系统无法识别的工具。管理程序可以
对很多主机上的 CPU 和资源进行操纵。虽然所有
操作系统都会显示本身的 CPU 和资源,但是攻击者
的计算机或者服务器对它的控制却无法显示出来。
下面是最新的几种僵尸网络的技术。
关系的程序或者文件也慢慢沦为僵尸利用的武器。
如音频文件过去一般认为都是可靠的。但是我国微
机病毒应急处理中心于 2008 年 8 月 31 日上午宣
布,在例行的对互联网信息内容的监测中最新发现
一种蠕虫病毒,它能够感染电脑系统中的音频文件
(如 wma 等) ,计算机使用者需小心防范。专家称,
该蠕虫并没有破坏被感染的音频信息文件让其无法
正常播放,而是会使该音频信息文件所存放的系统
(一 )BHO 控件的利用 主动登录指定的网页服务器来下载木马和病毒等恶
BHO 控件也成为最新的僵尸网络的突破口。 意程序,最后使得该计算机系统成为网络僵尸的一
Object ,是 MS 公司于 1999 年底发布的 IE 对第三方
编程人员开放交互式接口的标准。第二方程序通过
它可以用自创代码响应接收 IE 的事件,用来获得
IE 行为和组件的信息,甚至进一步控制 IE 的行为。
该控件其实也是 IE 扩展接口组件,其本质仍然是动
态链接库。它和其他接口组件的区别是其他的扩展
接口要用到某些用户的手动操作,如单击菜单、工具
条上的按钮,输入网页地址等触发性的动作才会被
浏览器加载,而该控件不同,当浏览器启动的时候,
BHO 就会被浏览器加载而无需任何条件来触发它。
另外该控件还可以监视浏览器的各类消息。浏览器
劫持就是利用了这个漏洞,本质上就是指引浏览器
通过一条错误的路线的现象。恶意程序通过该控件
来修改用户的 IE ,使得用户从普通的网页跳转到恶
意网页,一般用户在受害的同时无法察觉。 IObject
WithSite 和 IDispatch 是该控件的扩展接口,其中
IObjectWithSite 是用来获得 IE 控制权的接口,而
IDispatch 接口则是用来监昕 IE 的事件的接口 O
这种方法也常常被应用于用 BHO 控件来控制
僵尸网络,它们的区别是过去的僵尸网络是用 Bot
控制其他主机,而这种方法是用 BHO 插件来控制其
他主机。但 BHO 控件之间不具备传染性,它的端口
和进程都无需打开,随浏览器的打开而启动,有很强
的隐蔽性。一般来说防火墙都无法阻止它的进入并
且没有任何提示,普通的计算机使用者就更加不会
注意。当被攻击者的机器被攻击者植入带有 BHO
插件木马的病毒后, BHO 进入到 IE 中,然后和 IE
绑定在一起,无时无刻不控制着 IE ,从而使其变成
攻击愧倔群中的一分子。控制者现在要做的就是把
其他恶意代码放到己被完全操纵的计算机愧倔群
中,由刚被植入 BHO 插件木马的愧俑群来自动下
载,然后发出攻击指令。至此,整个僵尸网络链构建
成功。
员。
(三)PDF 格式文件的利用
同样的命运最近也降临在 PDF 格式的文件身
上。 4 月初防病毒网站已经发出警告说有控制者利
用 PDF 文件的内部漏洞,将特定的恶意程序加入到
PDF 的内部信息中,然后利用邮件来散布,当用户打
开该 PDF 文件的时候,便会被加入病毒木马等程序
以扩大僵尸网络的范围。控制者所利用的就是计算
机安全研究人员于 3 月底找到的 PDF 的缺陷。因
为 PDF 文件格式允许用户嵌入各种内容,如视频、
音频等,而且 PDF 文件格式中的Launch 功能能够
用来执行应用程序,这就使得控制者可以利用其相
关功能在 PDF 中加入恶意代码。不过从严格意义
上来说这个问题并不是安全漏洞,只是 PDF 格式的
一种功能。对于这个发现,Adobe 公司表示,这次事
件说明了不当使用某些功能会带来潜在的风险,该
公司会发布最佳解决方案并且通过更新来进行修
补。不过,在其还未进行更新时,就己经有控制者运
用以上的方法来进行恶意代码的嵌入,已经有很多
PDF 文件的使用者受害,被植入了 Zeus 僵尸网络程
序。在美国已经有超过 300 万台电脑被 Zeus 感染,
它最主要的用途是盗取使用者计算机中的机密和隐
私信息,这是至今第一个利用 PDF 文件漏洞来扩展
势力范围的僵尸网络。
(四 )Web 网站的感染
越来越多的文件格式成为僵尸网络的传播方
式,更令人担忧的是,最近几年才发展起来的 Web
网站也成了重灾区。僵尸网络对 web 网站
在 2009 年间进行了大量的攻击和操纵。 Twitter、谷
歌阅读等服务器都曾经被用做垃圾邮件发起攻击的
页面,因为它们可以用来来逃脱电子邮件的地址筛
选。最近一段时间,谷歌的很多服务器主机都曾经
被用来作为僵尸网络代理服务器以便操控各主机;
(二)音频格式文件的利用 2009 年底有专家指出,Zeus 僵尸网络人侵并破坏亚
此外,还有很多过去认为无法眼僵尸网络产生 马逊云操控的服务。这些主流论坛被用来发布混合
.26.
栩:僵尸网络的最新发展
主机客户端要包含以下的功能:防火墙一一用来阻
断饱和式攻击和非法的链接,杀毒软件一一-消灭后
门、木马等病毒程序。还要有对系统及时更新补丁
的习惯。
实际上系统资源占用量过大是实现桌面安全客
户端的难点问题。由于安全功能的多重性,企业类
的用户一般会使用两个或多个厂商的安全类产品,
通常情况下这样会造成冲突、占用较多的资源和使
得管理方式复杂化,而且各个厂商的安全产品之间
会存在一些技术上的间隙,能使蠕虫、木马等恶意程
序乘虚而入。
列、
编码指令,以便在全球范围散播僵尸网络。
五、僵尸网络的防御
不管是初期的各种 Bot 的客户端,还是现在的
运用各种挂木马等方式进行工作的新型的僵尸网
络,要想做到对于它们的全面彻底的防御,就必须通
过结合网络和主机的各种防护手段,实现各个层次
的防御。
(一)网络层面
不管是老式的 Bot 程序还是最新的僵尸网络的
通信,都必须通过各个端口来实现。绝大部分的
Bot 都使用端口 6667 和其他数值较大的端口(比如
31856 和 65432) 。大于 1024 号的所有端口应该设
置为禁止 Bot 程序进入,除非你确定有特殊的应用
程序要用到某个特定的端口,即使这样,你也应该对
这个端口制定严格的通信政策如"只在某些时间打开
11尸网络常常是在早上 7 点之前发布命令或者
升级的,因为这个时候进行工作很少会被人发现。
所以要养成在每天第一次登录计算机就查看系统日
志的习惯,如果你发现在没有人上网的情况下却有
浏览网页等异常活动,就应该立刻着手进行检查。
(二)主机层面
从主机层面来说,选择的安全产品必须有多重
的防御手段,要做到不成为僵尸网络的客户端。该
六、结语
僵尸网络并不是牢不可破的。面对僵尸网络的
威胁,我们应该从网络和主机这两个层面来着于解
决,而这两个层面所采用的安全产品和安全技术要
能够阻断僵尸网络攻击和传播的每→条途径,这样
就能够阻止僵尸网络的危害,构造良好的网络环境,
提高互联网的安全性。
参考文献:
[ 1 ]纵鑫,李玉德僵尸网络"的危害、特点及新型控制方式
[J]. 法制与社会,2008 , (12 下) .
责任编辑:崔海英
The New Development of Botnet
Sun Xu
(Department of Police Manαgement , R,αilwαy Police College , Zhengzhou 450053 , Chinα)
Subtract: In recent years , botnet has becoming more and more harmul. Its types include IRC BOT , AOL
BOT and P2P BOT , etc. It is changing faster and faster , but its structure has not changed a lot. It can used basi-
caIly by five steps. The main trend of botnet is to spread by keeping using system plugs - in , new fiIe formats and
system. So long as we pay attention to the all - around guard at network and host , we can control the bot-
net.
Key words: botnet; harm; new type; file format
.27.
