Transcript (02-Bot)Botne,

Botnet: Classification,
Attacks, Detection, Tracing,
and Preventive Measures
殭屍網絡：分類、攻擊、檢測、
追蹤，及預防措施
Jing L., Yang X., Kaveh G., Hongmei D., & Jingyuan Z
(2009, Jul 19). Botnet: Classification, Attacks, Detection,
Tracing, and Preventive Measures. EURASIP Journal on
Wireless Communications and Networking. 2009, 1-7.
Retrieved Jan 11, 2010 from the World Wide Web:
http://www.hindawi.com/journals/wcn/2009/692654.html
概要


1.摘要、緒論
2.檢測的方式及分類



3.bot攻擊



DDoS攻擊、垃圾郵件、洩密、欺騙點擊、身份詐欺。
4.檢測及追蹤


2.1形成。2.2週期。2.3 IRC-bot。2.4 P2P-bot。
2.5 bot類型。
Honeypot、IRC檢測、DNS檢測
5.預防措施(因應對策)
結論及未來挑戰
1.摘要、緒論


殭屍網路普及有線和無線網路。
殭屍網路的基本概念、形成、生命週期、
和相關的攻擊、偵測和追蹤對策。


兩個主要的結構(IRC、P2P)。



IRC：集中式架構，(較多人研究及提出可行性)
P2P：更難發現，(處於分析階段)
探測使用Honeypot.


名詞：Bot、Scrumping。
垃圾郵件：黑名單。
損害管理、更新。
殭屍網路檢測和預防、分析功能。
2.檢測的方式

檢測方式的分類大致上有很多


屬性(傳播機制C&C)、開發策略、設置命令、
資料流分析方式檢測殭屍網路、結合應用層及
網路層的分析、在應用層監測信息的方式，引
入bot學習技術檢測…。
目前：Honeynets和 IDS (Intrusion
Detection System入侵偵測系統)是兩個
最主要的技術。
2.1 形成與開發

利用殭屍網路發送垃圾郵件的範例。

形成殭屍網路的步驟：
2.2 殭屍網路的生命週期

殭
屍
網
路
和
bot
的
生
命
週
期
2.3 IRC基礎的BOT(介紹)



文字基礎、基於C/S(Client/Server)模式。
mIRC：使用多個IRC伺服器連接。
典型的IRC攻擊模式如下圖




BOT
控制通道
IRC伺服器
攻擊者
2.3 IRC基礎的BOT(攻擊4步驟)

攻擊者的四個步驟


(1)創建階段：添加代碼或修改現有BOT 。
(2)配置階段：
收集IRC服務器、通道信息。
 安裝BOT的受害者，會自動連接到選定的主機。
 提供列表，BOT授權用戶可進一步自定義和使用


(3)感染階段：
直接：利用漏洞和病毒。但受攻擊的系統
易有損害但節省時間。
 間接：使用其他的代理程式如惡意軟體。


。(4)控制階段：發送指令惡意任務。
2.4 P2P基礎的BOT(介紹)


Slapper：蠕蟲點對點的方式。
P2P殭屍網路：
2002年，Linux的DoS攻擊，虛擬Client
 2003年，Sinit出現：利用公鑰加密認證更新。
 2004年，Phatbot：用P2P發送命令到其它主機
 目前：Storm Worm：目前最廣泛的P2P BOT。
專家是利用二進位及網路追蹤進行分析。
 另外提出基於P2P殭屍網路來破壞通訊，如遮
蔽內容和汙染檔案。



P2P弱點：

有一個中央伺服器或與誰連繫的名單
2.4 P2P基礎的BOT(架構)


C&C (command and control)混合架構下的P2P
殭屍網路
有三個特點



不需引導
有限主機被俘
輕鬆被控制
2.5 BOT的類型(1/4)

多種廣泛已知的bot及其特徵：
種類
特徵
• 很普遍、網路上有500多個變種。
Agobot
• Agobot是唯一除了IRC，可用其它控制
Phatbot
協議的bot。
Forbot
Xtrembot • 提供了各種隱藏bot的方法，如NTFS交
換資料流、多型加密工具、防毒程式。
SDBot
• Sdbot是其它bot的基礎。和Agobot不
RBot
同點在：它的代碼不清楚，且功能有限
UrBot
，但還是常被用於網路。
UrXBot
2.5 BOT的類型(2/4)

多種廣泛已知的bot及其特徵：
種類
特徵
SpyBot
NetBIOS
Kuang
Netdevil
KaZaa
• 現今有數百種Spybot變種。
• 大多是從SDBot發展演變為分享的C&C
架構，但它們的編碼中不隱藏它們的惡
意目的。
mIRCbased
GT-Bots
• GT (Global Threat) bot是的mIRC的BOT
• 它實現了以mIRC的聊天客戶端為基礎
的二進位文件(主要是DLL)
• 通常隱藏在應用程式視窗被攻破的主機
，使mIRC的用戶看不到。
2.5 BOT的類型(3/4)

多種廣泛已知的bot及其特徵：
種類
特徵
DSNX
Bots
• DSNX (Data Spy Network X網路資料間碟) Bot
有適合的外掛程式介面來增加新的功能
• 雖然散播者的版本不符合，外掛程式介
面可幫助解決這一問題。
Q8 Bots
• Unix / Linux系統專用的Bot。
• 如動態更新的HTTP、各種DDoS攻擊、
執行任意指令等等。
2.5 BOT的類型(4/4)

多種廣泛已知的bot及其特徵：
種類
特徵
Kaiten
• 和Q8相似(缺少良好的環境及散播者)
• 它有一個簡單的遠端遙控外殼，這可方
便地檢查漏洞來通過 IRC。
Perlbased
bots
• 現今有許多Perl變種，因為很小，只有
幾百行代碼，因此它的攻擊指令有限，
特別是在UNIX系統的DDoS攻擊。
2.5.1 常見BOT-Agobot(1/2)

Agobot介紹



使用C/C++，跨平台、IRC控制協議。
標準資料結構、模組化、代碼檔，容易增加攻
擊命令到CCommandHandler or CScanner class
用標準及特殊IRC命令獲取敏感資訊。



(如要求BOT做基本操作，訪問檔案被感染主機的
bot.open指令)
關閉NetBIOS、RPC-DCOM(遠端程式呼叫)來確保系統
不同命令控制。(Pctrl、inst)
2.5.1 常見BOT-Agobot(2/2)

Agobot特性
 IRC基礎的C&C架構。
 各種DoS攻擊、可攻擊大數量的目標
 有外殼編碼功能
 界定多型混亂、鍵盤記錄或搜尋登錄記錄
 通過流量獲得敏感資訊(libpcap的資料封包)
 由修補漏洞躲避防毒軟體檢測、關閉後門
 停止使用反病毒網站(用NTFS的交換資料流隱藏)
 它可檢測debuggers避免被移除
(例SoftICE、Ollydbg、虛擬機如VMware、虛擬 PC)

找新受害者，簡單地掃描預定範圍
2.5.2 常見BOT-SDBot

SDBot介紹

C語言，代碼不超過2500行。
命令集和特徵類似Agobot，由GPL發布。
沒有傳播能力，只有簡單的主機控制功能。
攻擊者喜歡用，因為易於擴展。
有自己的IRC功能，(如Spying和cloning)
小型IRC，連接IRC伺服器，發送身份訊息(如
USER和NICK)，再從伺服器獲得許可(PING)，
就會承認(PONG)的連結。
用掃瞄工具，SDBot可輕易下個受害者(如

能發送ICMP和UDP封包






NetBIOS Scanner)
2.5.3 常見BOT-SpyBot

SpyBot介紹






C語言，不超過3000行，現幾乎都是變種。
SpyBot是增強版的SDBot。
除了基本的執行命令，又有掃瞄功能、主機控
制功能、模組化的DDoS攻擊和洪水攻擊(如
TCP SYN、ICMP和UDP)。
SpyBot的主機控制能力和Agobot相似。
Agobot在遠端命令執行、程序/系統操作、鍵
盤記錄、本地檔案操作。
但Spybot蠕蟲仍沒有像Agobot的廣泛性和模
組化的能力。
2.5.4 常見BOT-GTBot

GTBot介紹




被稱為Aristotles(亞里斯多德)
所有m-IRC基礎變種的bot代表，廣泛用於
Windows。
有一般功能如：IRC主機控制、DoS攻擊、
port掃瞄、NetBIOS/RPC開發，還提供有限
的二進位的mIRC scripts。
二進位功能：
HideWindows：mIRC隱形
 記錄每個遠端主機收到命令後的回應。
 擴大mIRC通過DDL，通常存在「.mrc」
 二進位檔檔名mIRC.exe

3. Botnet攻擊(1/5)

合法和非法的目的。


使用Honeypot的記錄資料分類為：


合法目的：支持IRC通道使用管理權限的操作
DDoS攻擊、垃圾郵件、信息洩露…
DDoS攻擊



消耗受害者網路服務系統頻寬。
最常用TCP SYN和UDP洪水攻擊。
對策：控制大量受損機器、禁用遠端控制機制
Freiling(弗賴林)等建立一個辦法，防止
DDoS攻擊透過探索隱藏在Honeyopts.
3. Botnet攻擊(2/5)

傳播垃圾郵件和惡意軟體




70~90%的垃圾郵件由殭屍網路散播。
若使用SOCKS v4/v5 Proxy被有些bot打開，
這些bot可執行惡意攻擊(如垃圾郵件)
一些bot可收集e-mail地址。
對策



提出分散式內容獨立的垃圾郵件分類系統，稱為
Trinity(三位一體)。但不知有效性，實驗中。
用總行為發現垃圾郵件殭屍網路。AutoRE
傳播惡意軟體：

殭屍網路可展開Witty蠕蟲攻擊ICQ協議，如果受
害者系統沒有開啟ISS服務。
3. Botnet攻擊(3/5)
 信息洩露
一些bot不只可嗅出被感染機器的流量，
也可命令被害人的資料(犯罪者可檢索的
每感資訊，如用戶名稱和密碼)。
 企業重要的主機和財務資料，因不影響系
統性能，故很難被發現。
 Bot監聽鍵盤活動且回報有用的資訊

 攻擊者可竊取私人資料和憑證資料。
3. Botnet攻擊(4/5)
 欺騙點擊

在botnet協助下，犯罪者可安裝廣告附
件和瀏覽器助手(BHOs)作為商業目的。
 像google的AdSense計劃，為了獲得更高
的點擊率
 使用botnet定期按特定超連結和點擊。
 網上投票或遊戲。
 因每個受害主機的IP是合法的，故每次點
擊都視為合法有效的點擊。
3. Botnet攻擊(5/5)
 身份詐欺
又叫身份盗用。
 網路釣魚是一個典型的例子。
 包括合法的(如網址)，要求提交個人或機
密訊息。
 Botnet可設置一些假網站冒充正式的網
站竊取受害者資料，一旦假的網站關閉又
可彈出，直到關閉電腦。

4. 檢測和追蹤
 最普遍使用Honeypots
其中一個子網路假裝受到木馬損壞，實
際觀測攻擊者行為，以確定控制主機。
 利用Honeypot和其積極的反應，收集
bot的二進位文件，在honeypot中假裝
被攻破，允許其訪問IRC伺服器。

 利用內部訊息表追蹤IRC。
 DNS快取在網路上解決IP位址的目的
伺服器。
4.1 Honeypot and Honeynet
。