文档介绍:僵尸网络
僵尸网络
Botnet
僵尸网络是指采用一种或多种传播手段, 将大量主机感染bot程序(僵尸程序), 从而在控制者 和被感染主机之间所形成的一个 可一对多控制的网络。
在 Botnet 的概念中有这样几个关键词。 bot 等,使得基于 IRC 协议的 Botnet 成为主流。
2003 年之后,随着蠕虫技术的不断 成熟, bot 的传播开始使用蠕虫的主动传 播 技术,从而能够快速构建大规 模的 Botnet 。著名的有 2004 年爆发的 Agobot/Gaobot 和 rBot/Spybot 。同年出现的 Phatbot 则在 Agobot 的基础上, 开始独立使用 P2P 结 构构建控制信 道。
从良性 bot 的出现到恶意 bot 的实现,从被动传播到 利用蠕虫技术主动传播,从 使用简单的 IRC 协议构成控制信道到构建 复杂多变 P2P 结构的控制模式, Botnet 逐 渐发展成规模 庞大、功能多样、不易检测的恶意网络,给当前的网络 安全带来了不容 忽视的威胁。
Botnet 的工作过程
Botnet 的工作过程包括传播、加入 和控制三个阶段。
一个 Botnet 首先需要的是具有一定规模的 被控计算机,而这个规模是逐 渐地随 着采用某种或 某几种传播手段的 bot 程序的扩散而形成的,在这个传 播过程中有如下 几种手段:
量的邮件病毒传播自身 ,通常表现为在 含下载执行 bot 程序的链接,并通过一 点击链接,或是通过利 用邮件客户端的 为僵尸主机。
( 1)主动攻击漏洞。其原理是 通过攻击系统所存在的漏洞获得 访问权,并在 Shellcode 执行 bot 程序注入 代码,将被攻击系 统感染成为僵尸主机 。属于此类的最 基本的感染途 径是攻击者手动地利用一系列黑 客工具和脚本进行攻击 ,获得权限后下 载 bot 程序执行。攻击者还会将僵尸程序 和蠕虫技术进行结合,从而使 bot 程序能够 进行自动传播 ,著名的 bot 样本 AgoBot , 就是实现了将 bot 程序的自动传播。
(2)邮件病毒。bot程序还会通过发送大 邮件附件中携 带僵尸程序以及在邮件内容中包 系列社会工程 学的技巧诱使接收者执行附件或 漏洞自动执行 ,从而使得接收者主机被感染成
( 3)即时通信软件。利用即时 通信软件向好友列表发送执行僵 尸程序的链接, 并通过社会工 程学技巧诱骗其点击,从而进行 感染,如 2005 年年初爆发的 MSN 性 感鸡( )采用的就是这种 方式。
( 4 )恶意网站脚本。攻击者在提供 Web 服务的网 站中在 HTML 页面上绑定恶意 的脚本,当访 问者访问这些网站时就会执行恶 意脚本,使得 bot 程序下载到主机上, 并被自动执行 。
( 5)特洛伊木马。伪装成有用 的软件,在网站、 FTP 服务器、 P2P 网络中提 供,诱骗用户 下载并执行。
通过以上 几种传播手段可以看出,在 Botnet 的形成中传播方式与蠕虫和 病毒以 及功能复杂的 间谍软件很相近。
在加入阶 段,每一个被感染主机都会随着隐藏 在自身上的 bot 程序的发作而加入 到 Botnet 中去 ,加入的方式根 据控制方式和通信协议的不同而 有所不同。在基于 IRC 协议的 Bot