僵尸网络的发现与跟踪.pdf

全国网络与信息安全技术研讨会 2 0 0 5 1 僵尸网络的发现与跟踪 僵尸网络的发现与跟踪 诸葛建伟 韩心慧 叶志远 邹维 北京大学计算机科学技术研究所 北京 100871 摘摘 要 要 僵尸网络 Botnet 是近年来兴起的危害互联网的重大安全威胁之一 对僵尸网络的发现和跟踪能 够帮助安全研究人员深入了解僵尸网络攻击模式 本文介绍了发现和跟踪大量僵尸网络的方法 即通过恶意 软件收集器及样本交换等途径收集大量僵尸程序 Bot 并通过对僵尸程序的分析获取进入僵尸网络控制信道 的必需信息 然后使用自动化僵尸网络控制服务器所属国查询以及规模查询工具得出该僵尸网络的基本信 息 最后使用 IRC 客户端软件对 IRC 僵尸网络进行全面跟踪 本文通过大量的僵尸网络发现和跟踪经验给 出了控制服务器所属国 僵尸网络规模的分布统计 以及对典型 IRC 僵尸网络的跟踪记录 关键词 关键词 僵尸网络 僵尸程序 恶意软件 蜜网 Discover and Track Botnets Zhuge Jianwei Han Xinhui Ye Zhiyuan Zou Wei Institute of Computer Science and Technology Peking University Beijing 100871 Abstract Botnet is one of the emerging serious threats of the Internet Discovering and tracking botnets can help the security researchers to understand the attack patterns of the botnets deeply This paper presents the methodology of botnet discovery and tracking First a great deal bots were collected through an automated malware collector and sample exchanging with AV vendors then they were analyzed to extract all necessary information to connect into the control channel of botnets with these information an automated whois query and botnet size tracking tool was used to extract the locations and sizes of the botnets furthermore an IRC client software was used to track and log the activities of these botnets Through discovery and tracking of a great deal of botnets this paper shows the distribution of locations of the botnet control servers as well as the sizes of the botnets Furthermore a typical IRC botnet tracking example was presented key words botnet bot malware honeynet 基金资助 第一作者受 2004 年微软学者计划及 2005 年 IBM Ph D Fellowship 计划资助 作者简介 诸葛建伟 1980 男 浙江瑞安人 博士研究生 Email zhugejianwei 2 全国网络与信息安全技术研讨会 2 0 0 5 1 引言引言 僵尸网络是近年来兴起的危害互联网的重大安全威胁之一 攻击者通过各种途径传播僵尸程序 感染互联网上的大量主机 而被感染的主机将通过一个控制信道接收攻击者的指令 组成一个僵尸 网络 大部分的僵尸网络都可以在攻击者的控制下进行进一步的传播 从而使得僵尸网络的规模越 来越庞大 一旦攻击者拥有一定规模的僵尸网络 就可以利用僵尸网络所控制的资源 在互联网上 建立起了一种强势地位 并且可以利用这些资源获取经济利益 僵尸网络的危害主要体现在发动分 布式拒绝服务攻击 发送垃圾邮件以及窃取僵尸主机内的敏感信息等 一个稍具规模的僵尸网络所拥有的带宽资源就足以对任何站点实施分布式拒绝服务攻击 著名 的案例如 2004 年 6 月份互联网基础设施提供商 Akamai 的一台关键域名服务器受到僵尸网络发动的 分布式拒绝服务攻击 导致其客户 Google Microsoft Yahoo 和 Apple 等知名网站不能提供正常服 务 同时僵尸网络控制者往往以分布式拒绝服务攻击对一些在线网站进行讹诈以获得经济利益 僵 尸网络控制者还可以滥用僵尸主机的计算和带宽资源 抓取本地或互联网上的邮件地址 并在僵尸 主机上打开邮件转发服务 发送垃圾邮件 根据著名的反垃圾邮件公司 MessageLabs 发布的 2004 年 10 月份月度报告 在其过去一年内观测到的垃圾邮件中有 70 是从僵尸网络中发出的 最后 僵尸 网络控制者还会从僵尸主机上收集一些敏感信息 如在线银行账号 密码 操作系统和应用程序的注 册码 流行网络游戏的登录账号 密码以及装备等 由于僵尸网络能够进行众多的攻击行为并使得攻 击者获取经济利益 因此也已经被黑客们进行出售或租借 僵尸网络在二十世纪九十年代末开始出现 近年来开始对互联网的安全构成严峻的危害 因此 也逐渐引起反病毒厂商和学术界对僵尸网络活动的关注 但目前对僵尸网络的研究尚处于初步阶段 还并未有发现 跟踪与抑制大量僵尸网络活动的有效方法 狩猎女神项目组 The Artemis Project 是北京大学计算机科学技术研究所信息安全工程研究中 心推进的蜜罐和蜜网技术研究项目 并于 2005 年 2 月份经过蜜网研究联盟指导委员会的审核 被接 收成为世界蜜网研究联盟的成员 成为国内第一支参与该联盟的团队 并被蜜网研究联盟主席 Lance Spitzner 命名为 Chinese Honeynet Project 从 2005 年 1 月份狩猎女神项目组部署的蜜网捕获到僵尸 程序开始 我们即开始进行对僵尸网络的跟踪和研究工作 通过发现和跟踪大量的僵尸网络活动 我们对僵尸网络的行为模式有了深入的了解 并对僵尸网络控制服务器所属国家 僵尸网络的规模 等进行了统计 本文的组织结构如下 第 2 部分将对僵尸网络的发展历程 基本概念及目前对僵尸网络的研究 现状进行概述 第 3 部分将介绍对僵尸网络的发现技术 第 4 部分将给出我们跟踪大量僵尸网络所 获得的结果 最后 第 5 部分给出本文的结论和进一步工作 2 僵尸网络概述及研究现状僵尸网络概述及研究现状 2 1 僵尸网络发展历程僵尸网络发展历程 虽然僵尸网络在近年才开始被人们关注 但其历史可追溯到 1993 年 在 IRC 聊天网络中就已经 出现了 Bot 工具 Eggdrop 它作为 IRC 聊天网络中的智能程序 能够自动地执行如防止频道被滥用 管理权限 记录频道事件等一系列功能 从而帮助用户更方便地使用 IRC 聊天网络 而之后黑客也 接受了这些良性 Bot 工具的启发 开始编写恶意 Bot 工具对大量的受害主机进行控制 利用他们的 资源以达到恶意目标 九十年代末随着分布式拒绝服务攻击概念的成熟 出现了大量分布式拒绝服 务攻击工具如 TFN TFN2K Trinoo 攻击者通过这些工具掌握大量的僵尸主机 发动分布式拒绝 全国网络与信息安全技术研讨会 2 0 0 5 3 服务攻击 而这些僵尸主机可以说已经构成了僵尸网络的雏形 而 1999 年在第 8 届 DEFCON 年会 上发布的 SubSeven 2 1 版开始使用 IRC 协议构建攻击者对僵尸主机的控制信道 也成为第一个真正 意义上的僵尸程序 之后 使用 IRC 协议的僵尸程序大规模出现 如 GTBot Sdbot 等 也使得 IRC 僵尸网络成为主流 2003 年之后 黑客开始将僵尸程序和蠕虫的主动传播技术相结合 编写出能够 快速构建大规模的僵尸网络的工具 著名的有 2004 年爆发的 Agobot Gaobot 和 rBot Spybot 而同年 出现的 Phatbot 则在 Agobot 的基础上 开始使用 P2P 协议构建控制信道 由于僵尸网络对攻击者所 带来的巨大价值 黑客界也在不断的对僵尸程序进行创新和发展 如使用加密控制信道 使用 P2P 网络进行传播 并使用完全的 P2P 网络作为控制信道等 这也使得对僵尸网络的发现 跟踪和反制 将变得更加困难 2 2 僵尸网络概述僵尸网络概述 虽然僵尸网络已经出现多年 但目前仍然给出任何对僵尸网络的定义 在反病毒领域也一直没 有给出僵尸程序的定义 经常与后门工具或蠕虫相混淆 本文将如下定义僵尸网络 僵尸网络是攻 击者出于恶意目标 传播僵尸程序将大量主机感染成僵尸主机 并通过一对多的命令和控制信道所 组成的网络 因此 僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸主机之间存在着一 对多的控制关系 而正是这种一对多的控制关系 使得攻击者能够以极低的代价高效地控制大量的 资源并为其服务 这也是僵尸网络攻击模式近年来受到黑客青睐的根本原因 僵尸网络的网络结构如图 1 所示 僵尸程序将加入到命令和控制信道 并等待攻击者的命令 攻击者一般通过跳板主机连入命令和控制信道 通过僵尸程序控制僵尸主机 利用大量僵尸主机的 资源完成其恶意目标 图 1 僵尸网络结构图 从僵尸程序的角度出发 其生命周期大致可以分为如下三个阶段 僵尸程序感染 加入命令和 控制信道等待攻击者命令 接收攻击者命令进入破坏阶段 2 3 僵尸网络研究现状僵尸网络研究现状 在恶意僵尸程序出现后 安全领域最早对其进行关注的是反病毒厂商 僵尸程序作为从后门工 具发展出来 并与蠕虫 Spyware 等技术结合的一种恶意软件 属于反病毒软件的查杀范围 著名 的各大反病毒厂商都对著名的几个僵尸程序进行了细致的分析 并在反病毒软件中包括了这些僵尸 4 全国网络与信息安全技术研讨会 2 0 0 5 程序的特征码 从而对他们进行查杀 但反病毒厂商并没有给出僵尸程序和后门工具或蠕虫的严格 区分 而将不会大规模传播的僵尸程序归为后门工具 而结合蠕虫技术进行大规模传播的则视为蠕 虫 随着近年来僵尸网络活动的日益活跃 反病毒厂商也开始对其更加关注 赛门铁克从 2004 年开 始在其半年发布一次的安全趋势分析报告中以单独的章节给出对僵尸网络活动的观测结果 卡巴斯 基也在恶意软件趋势分析报告中指出僵尸程序的盛行是 2004 年病毒领域最重大的变化 从 2003 年开始 僵尸网络也已经引起了学术界的关注 最早对僵尸网络活动进行深入跟踪和分 析的是蜜网项目组和蜜网研究联盟的一些成员 如 Azusa Pacific 大学的 Bill McCarty 1 法国蜜网 项目组的 Richard Clarke 2 华盛顿大学 Dave Dittrich 3 4 和德国蜜网项目组 特别是德国蜜网项目组 在 2004 年 11 月到 2005 年 1 月通过部署 Win32 蜜罐机发现并对近 100 个僵尸网络进行了跟踪 并发 布了僵尸网络跟踪的技术报告 5 7 在他们的跟踪过程中 还专门开发了 mwcollect 8 对恶意软件样 本进行收集 同时借助了德国另外一个团队编写的 IRC 客户端软件 drone 对僵尸网络进行跟踪和记 录 可以看出 目前学术界对僵尸网络的研究工作还刚刚起步 国内对僵尸网络的认识和研究工作 也同样处于初期阶段 反病毒领域也一直关注于对僵尸程序的分析和查杀 但并没有对僵尸网络活 动进行更深入的研究 CNCERT CC 通过破获国内第一起僵尸网络案例 9 10 积累了宝贵的僵尸网络发 现和追踪经验 但从公开发布成果来看 国内并未有大规模发现和跟踪僵尸网络的经验 3 发现僵尸网络发现僵尸网络 由于僵尸网络活动的受控性 其网络行为特征与蠕虫在网络流量规模上有显著的差异 大规模 爆发的蠕虫通常感染几十万甚至上百万的主机 并在特定的传播端口上形成全局显著的网络流量异 常 如 CNCERT CC 对震荡波蠕虫的监测数据即表明 LSASS 漏洞所在的 445 端口的流量显著增长 而僵尸网络的规模要比蠕虫传播范围要小很多 而且僵尸网络的进一步扩散以及控制流量存在着时 间和空间上的分布性 同时僵尸网络控制阶段在网络流量统计特征上与正常的网络通讯流量并无大 的差异性 因此 僵尸网络的传播和控制阶段所引起的流量将会被湮没在大量的正常网络流量中 在未能深入分析僵尸网络活动的表现特征和行为模式的情况下 很难通过监测网络流量发现僵尸网 络 而一旦攻击者通过控制僵尸网络发起 DDoS 攻击 发送大量 SPAM 等破坏活动 虽然会对受害 方造成严重的影响 但在骨干网核心节点上仍难以将其与正常网络流量进行区分 而一般依赖于受 害者向应急响应部门汇报后对僵尸网络进行发现 而在破坏阶段发现僵尸网络的活动意义并不大 因为攻击者已经利用僵尸网络对互联网的安全造成了严重的危害 因此我们利用恶意软件收集器对恶意软件样本进行收集 通过对恶意软件样本的分析判断其是 否僵尸程序 并析取出僵尸程序所连接的僵尸网络控制信道信息 从而在僵尸网络的早期传播阶段 就能够对其进行发现 依赖恶意软件收集器对僵尸程序进行收集必须首先深入分析僵尸程序的主要感染途径 目前僵 尸程序的感染途径主要包括如下几类 1 主动攻击漏洞 其原理是通过攻击系统所存在的漏洞获得访问权 并在 Shellcode 执行僵尸程序注入代码 将被 攻击系统感染成为僵尸主机 属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和 脚本进行攻击 获得权限后下载僵尸程序执行 我们所部署的蜜网中即捕获过这样的攻击案例 攻 击者还会将僵尸程序和蠕虫技术进行结合 从而使僵尸程序能够进行自动传播 著名的案例如 AgoBot 另外 正如我们所观测到的 僵尸网络往往通过攻击多个系统漏洞进行进一步扩散 2 邮件病毒 僵尸程序还会通过发送大量的邮件病毒传播自身 通常表现为在邮件附件中携带僵尸程序以及 全国网络与信息安全技术研讨会 2 0 0 5 5 在邮件内容中包含下载执行僵尸程序的链接 并通过一系列社会工程学的技巧诱使接收者执行附件 或点击链接 或是通过利用邮件客户端的漏洞自动执行 从而使得接收者主机被感染成为僵尸主机 3 即时通讯软件 利用即时通讯软件向好友列表发送执行僵尸程序的链接 并通过社会工程学技巧诱骗其点击 从而进行感染 如年初爆发的 MSN 性感鸡 Worm MSNLoveme 4 恶意网站脚本 打开网站时即通过利用浏览器自动执行远程脚本的功能对主机进行感染 5 特洛伊木马 伪装成有用的软件 在网站 FTP 服务器 P2P 网络中提供 诱骗用户下载并执行 我们目前已经部署的恶意软件收集器是针对最主流的僵尸程序感染方式 主动攻击漏洞感染 首先将会模拟一系列常见的操作系统漏洞如 RPC DCOM 漏洞 LSASS 漏洞等 当恶意软件通过攻 击这些漏洞试图感染蜜罐机时 恶意软件收集器将通过分析恶意软件攻击所使用的 Shellcode 获取其 中包含的恶意软件链接 URL 并根据此 URL 下载获得恶意软件样本 实际结果显示此方法取得了 良好的效果 从 2005 年 1 月份狩猎女神项目组部署的蜜网捕获到僵尸程序开始 我们即开始进行对僵尸网络 的跟踪和研究工作 在之后的半年时间内 我们部署了恶意软件收集器 能够自动化地进行收集 而不再像传统的蜜罐技术需要人工介入 同时申请加入了国际恶意软件收集联盟 International mwcollect Alliance 以共享收集到的样本资源 并与德国蜜网项目组合作进行僵尸程序的收集工作 及对僵尸网络控制信道信息的提取 对收集到的恶意软件样本 我们采用了沙箱 蜜网两种各有优势的技术对其进行分析 确认其 是否僵尸程序 并对僵尸程序所要连接的僵尸网络控制信道的信息进行提取 对于普通的僵尸程序 我们可以通过沙箱技术在一个完全虚拟的环境中运行僵尸程序 并对其行为进行监控 但对部分能 够对抗虚拟环境的僵尸程序如 Agobot 我们在高度可控的蜜网框架 11 内 利用一系列的数据捕获和 分析工具对其网络行为进行分析 以获取僵尸程序所连接的僵尸网络控制信道信息 通过各种途径 我们最终获得了 60 000 多个僵尸程序样本分析报告 并从中析取出 8 000 多个 IRC 僵尸网络的控制信道信息1 4 跟踪僵尸网络跟踪僵尸网络 在获得这些信息后 我们使用 Python 语言开发了一个能够批量的查询这些 IRC 控制服务器是否 活跃 IP 所属国家 并连入僵尸网络获取其用户规模和控制指令的工具 通过此工具对 8 000 多个 IRC 控制服务器的查询及对其中 500 多个仍然活跃的僵尸网络的跟踪 我们得到如下一些统计结果 图 2 给出了这 8 000 多僵尸网络的控制服务器 IP 所属国家分布 美国以 43 高居榜首 随后的是几 个发达国家 而大中华 包括中国 香港和台湾 所占的比例仅为 3 这与 Symantec 和 CipherTrust 探测到的僵尸主机的比例 分别为 8 和 15 左右 形成较大的反差 这在一定程度上能够反映出目 前国内大部分的僵尸主机是被国外的黑客所控制 图 3 则给出了其中活跃的 500 多个僵尸网络的规模分布 10 000 个以上僵尸主机组成的大规模 僵尸网络还是极少数 值得注意的是 规模在 1 000 到 5 000 的僵尸网络占了总数的近四分之一 而 其中的每个僵尸网络足以对互联网上任何一个站点发布分布式拒绝服务攻击 使之瘫痪 图 4 则显示了一个较大型的僵尸网络在 3 个小时内进行进一步扩散的规模曲线图 其规模以每 小时平均 7 的比例增长 1僵尸工具存在重复 可能会连接同一僵尸网络 6 全国网络与信息安全技术研讨会 2 0 0 5 另外我们还使用了 mIRC 客户端软件对其中部分活跃的 IRC 僵尸网络进行了更全面的跟踪 发 现了大量控制者所执行的活动 包括进一步扩散 对僵尸程序进行更新 对特定目标执行分布式拒 绝服务攻击 利用僵尸网络发送垃圾邮件以及窃取僵尸主机上的敏感信息等 图 5 和图 6 显示了一 个典型的正在进行进一步扩散的僵尸网络控制信道的截图 可以看到 控制者通过频道的话题发布 其控制指令 advscan lsass 445 40 0 0 r b 每个刚加入控制信道的僵尸程序将获取该指令并执行 图 2 跟踪的 IRC 僵尸网络控制服务器所属国分布 图 3 跟踪的僵尸网络规模分布 0 1000 2000 3000 4000 5000 6000 7000 2 53 193 53 184 53 185 53 18 图 4 一个僵尸网络规模增长情况 图 4 跟踪到的一个典型的僵尸网络控制信道 图 5 跟踪到的一个典型僵尸网络中的活动记录 全国网络与信息安全技术研讨会 2 0 0 5 7 我们对跟踪到的僵尸网络进行确认后 按照僵尸网络控制服务器所属国将僵尸网络活动事件汇 报给了该国的应急响应部门 5 结论与进一步工作结论与进一步工作 僵尸网络是目前危害互联网的重大安全威胁之一 本文介绍了狩猎女神项目组在僵尸网络发现 和跟踪方面的实践经验和跟踪结果 狩猎女神项目组通过恶意软件收集及分析发现了大量的僵尸网 络 并通过自动化工具对僵尸网络控制服务器所属国及规模进行查询 给出了分布统计 同时基于 IRC 客户端软件对活跃的僵尸网络进行了全面的跟踪 从而僵尸网络的行为模式进行了深入了解 本文所进行的僵尸网络发现和跟踪实践仍还处于对僵尸网络研究的初期阶段 我们进一步的工 作将包括开发分布式部署的恶意软件收集体系 以及能够对通过邮件途径传播的僵尸程序进行收集 的 HoneyMail 工具 在恶意软件样本分析方面 我们正在研究基于数据融合技术框架的蜜网攻击数 据分析及可视化工具 基于此工具能够在高度可控的蜜网框架中更方便地分析僵尸程序的网络行为 和系统行为 此外 我们将开发能够同时跟踪大量僵尸网络的 HoneyBot 工具 并将僵尸网络信息及 活动记录到数据库中 以供提供友好的汇报界面并能够进行更深入的分析 从而发现僵尸网络活动 的抽象行为模式 上述一系列技术研究和工具开发将提供一套能够高效地发现和跟踪僵尸网络的完 整技术方案 参考文献 参考文献 1 McCarty B Botnets Big and Bigger IEEE Security Privacy Magazine 1 4 87 90 2003 2 Clarke R Building an Early Warning System in a Service Provider Network Black Hat Briefings Europe 2004 3 Dittrich D Bots and Botnets The Automation of Computer Network Attack