发现和跟踪僵尸网络解析课件

发现和跟踪僵尸网络诸葛建伟狩猎女神项目组TheArtemisProject北京大学计算机科学技术研究所1发现和跟踪僵尸网络诸葛建伟北京大学计算机科学技术研究所1内容狩猎女神项目组僵尸网络概述发现僵尸网络跟踪僵尸网络总结与进一步工作2内容狩猎女神项目组2狩猎女神项目组

TheArtemisProject 3狩猎女神项目组 TheArtemisProject项目组简介蜜罐和蜜网技术研究组北京大学计算机研究所信息安全工程研究中心HoneynetResearchAlliance中国唯一团队-ChineseHoneynetProject项目组网站:项目组邮件列表:artemis@HoneynetCN邮件组:/group/honeynetcn<<电脑安全专家>>2005年7月份非常话题专栏4项目组简介蜜罐和蜜网技术研究组4项目组目前研究工作蜜网维护及攻击案例分析结合第三代蜜网技术和honeyd虚拟蜜罐工具“利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机大会恶意软件的捕获与分析重点针对僵尸网络蜜网数据分析与可视化研究网络环境信息获取工具NetEye攻击数据统计分析与可视化工具基于多源数据融合框架的攻击态势评估技术研究5项目组目前研究工作蜜网维护及攻击案例分析5僵尸网络概述

6僵尸网络概述 6僵尸网络起源Eggdropbot:1993良性Bot工具:Spiders,…恶意Bot工具DDoS攻击工具:1999年11月Subseven2.1IRCBot:GTBot、SdBot结合蠕虫传播机制:Agobot/Gaobot,rBot/SpybotP2PBot:Phatbot7僵尸网络起源Eggdropbot:19937僵尸网络危害分布式拒绝服务攻击2004年6月份-Akamai关键域名服务器被僵尸网络DDoS在线讹诈发送垃圾邮件抓取电子邮件地址、打开OpenRelay服务、发送垃圾邮件从僵尸主机上收集敏感信息在线银行账号/密码，信用卡信息，注册码，在线游戏账号/装备8僵尸网络危害分布式拒绝服务攻击8僵尸网络的基本网络结构9僵尸网络的基本网络结构9僵尸程序的定义特性一对多控制关系僵尸程序与其他恶意软件的区别传播性可控性窃密性危害等级僵尸程序可控传播（1对多）可控有完全控制，高后门不具备（1对1）可控有完全控制，高蠕虫主动传播一般没有没有网络流量，高Spyware被动传播一般没有有信息泄漏，中病毒用户干预一般没有没有感染文件，中10僵尸程序的定义特性一对多控制关系传播性可控性窃密性危害等级僵IRC僵尸程序的基本活动步骤11IRC僵尸程序的基本活动步骤11发现僵尸网络

12发现僵尸网络 12如何发现僵尸网络？IDS方法必须充分了解僵尸程序，提取指纹信息作为IDS检测的特征行为监测法僵尸程序行为模式：快速连接控制信道、长时间在线发呆、…蜜罐捕获法通过部署蜜罐对僵尸程序进行捕获－样本通过对网络行为进行监视和分析－僵尸网络控制信道信息13如何发现僵尸网络？IDS方法13僵尸程序的传播方式主动攻击漏洞攻击漏洞，通过shellcode注入僵尸程序与蠕虫主动传播方式结合：Agobot,rBot邮件病毒即时通讯软件:MSN性感鸡恶意网站脚本特洛伊木马14僵尸程序的传播方式主动攻击漏洞14恶意软件捕获器mwcollect针对主动攻击漏洞传播的恶意软件(包括僵尸程序)模拟RPCDCOM、LSASS等知名漏洞对主动攻击漏洞恶意软件注入的shellcode进行分析，获取恶意软件传播使用的URL通过URL获取恶意软件样本15恶意软件捕获器mwcollect针对主动攻击漏洞传播的恶意软其他的僵尸程序来源InternationalmwcollectAlliance共享捕获的恶意软件样本资源与反病毒厂商的样本交换PandaSoftware公开的恶意软件分析报告资源Sandbox.norman.no16其他的僵尸程序来源Internationalmwcolle僵尸程序样本分析任务－获取僵尸网络控制信道信息控制服务器host/port连接口令加入的频道名/频道口令用户名和昵称的结构–CHN|xxxxx?方法沙箱:sandbox.norman.no蜜网在线攻击分析技术逆向工程技术17僵尸程序样本分析任务－获取僵尸网络控制信道信息17跟踪僵尸网络

18跟踪僵尸网络 18HoneyBot僵尸网络跟踪工具HoneyClient－客户端蜜罐技术能够根据给定的控制信道信息连入僵尸网络，并隐蔽地对僵尸网络活动进行跟踪和审计的蜜罐僵尸工具同时跟踪多个僵尸网络Honeybot原型系统：python+ircclientlib19HoneyBot僵尸网络跟踪工具19僵尸网络控制服务器分布20僵尸网络控制服务器分布20僵尸网络规模分布21僵尸网络规模分布21一个典型的僵尸网络规模增长情况22一个典型的僵尸网络规模增长情况22使用mIRC跟踪僵尸网络23使用mIRC跟踪僵尸网络23跟踪到的僵尸网络扫描活动24跟踪到的僵尸网络扫描活动24跟踪僵尸网络的一些经验相当大比例的僵尸网络生命周期较短首先使用自动化跟踪工具确定其存活情况、规模等信息，再进行选择跟踪伪装性昵称和用户名必须与其他僵尸程序一致DisableIRC协议的CTCP(ClienttoClientProtocol)功能使用SOCKS代理保证跟踪源的隐蔽性如果被僵尸网络控制者识破：DDoS25跟踪僵尸网络的一些经验相当大比例的僵尸网络生命周期较短25进一步工作增大恶意软件的捕获范围分布式部署重定向机制－将针对业务网络的恶意软件感染重定向到蜜罐网关ARP重定向机制接入交换机DNAT重定向机制－未分配IP、VDS更有效的分析僵尸程序蜜网在线数据分析技术更全面地跟踪僵尸网络HoneyBot工具的进一步工作全网范围内监控僵尸网络根据HoneyBot获得的僵尸程序指纹特征及行为特征进行检测和封堵26进一步工作增大恶意软件的捕获范围26谢谢！狩猎女神项目组/TheArtemisProj