- Internet Technology Lab
Download
Report
Transcript - Internet Technology Lab
Module 13:Botnet介紹
與架設實習
網路安全
學習目的
1.
2.
這個模組首先透過介紹 Botnet定義與原理讓同學對於
Botnet有初步的認識,簡介常見的Botnet,並說明其原理
最後,透過實作的方式讓同學實際操作,更加了解
Botent的原理跟其可能的危害
本模組共有四個小節包括
(1)Botnet簡介
(2)Botnet種類分析
(3)Botnet實務
(4)Botnet專案實作
共需三個鐘點
網路安全
13-2
Module 13:Botnet介紹與架設實習
•
•
•
•
Module 13-1:Botnet簡介 (*)
Module 13-2:Botnet種類分析(*)
Module 13-3:Botnet的實務(**)
Module 13-4:Botnet的專案實作(**)
* 初級(basic):基礎性教材內容
**中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容
***高級(advanced):適用於深入研究的內容
網路安全
13-3
Module 13-1:Botnet簡介(*)
網路安全
13-4
Botnet介紹
• 殭屍網路(BotNet) 是指受感染之主機猶如殭屍般任由控制
者操控,駭客藉由網路聊天(Internet Relay Chat, IRC) 等遠
端控制受感染的主機(意即殭屍電腦, zombies),可發動網
路攻擊
• 包括帳號密碼及鍵盤側錄(keystroke logging)竊取私密資料、
網路釣魚(Phishing)、散布垃圾郵件(SPAM)、發動分散式
阻斷式服務(DDoS),恐嚇受駭網站等犯罪行為
• 根據的C&C架構分類
– IRC-based
– Peer to Peer (P2P) botnets
– HTTP-based
網路安全
13-5
Botnet定義
• 僵屍網路是指駭客利用自己編寫的分散式阻斷服
務攻擊程序將數萬個淪陷的機器,組織成一個個
控制節點,用來發送偽造資訊或垃圾封包,使得
被攻擊端網路癱瘓
• 病毒通常會隨著e-mail、即時通訊軟體或電腦系統
漏洞,侵入電腦,再藏身於任何一個程式裡
網路安全
13-6
Botnet起源
• 1989年,Greg Lindahl在IRC撰寫,這是第一個
IRC Bot
• 當初的Bot只是一個方便管理系統的工具,並未有
任何惡意的行為,但現在Bot已經成為網路安全一
項隱患,成為駭客賺錢工具之一
網路安全
13-7
Botnet危害
•
•
•
•
•
•
安裝廣告軟體
散佈垃圾郵件
非法使用智慧財產
破解密碼
點擊詐欺
DDoS攻擊
網路安全
13-8
Botnet Configure
• Botnet 功 能 模 組 可 以 分 為 主 要 模 組 (primary
function)和輔助功能模組(auxiliary function)
C&C module
Primary
function
Propagation
modules
Bot
DDOS
Auxiliary
function
host control
Others
網路安全
13-9
Botnet Configure (續)
• 主要模組(primary function):
– 實現僵屍網路定義特性的命令與控制模組 (C&C
module) 和 實 現 網 路 傳 撥 特 性 的 傳 播 模 組
(propagation module)
• 輔助功能模組(auxiliary function):
– 執行命令達到DDOS、資訊的竊取與控制受害者主
機或其它反偵測等功能
網路安全
13-10
Module 13-2:Botnet種類分析(*)
網路安全
13-11
Botnet種類分析
• 依其傳輸協定,我們可以分為
– IRC Botnet
– HTTP Botnet
– P2P Botnet
網路安全
13-12
IRC Botnet
• IRC為Botnet最常使用的傳輸協定
• IRC協定是網路聊天室的協定
• Client-Server架構
4.
Co
mm
an
ds
3. Commands
1. DNS Lookup
網路安全
13-13
IRC Botnet (續)
Commands
網路安全
13-14
P2P Network
• P2P網路結構分類如下圖:
P2P 網路
集中式P2P 網路
非集中式P2P 網路
結構式P2P 網路
非結構式P2P 網路
網路安全
13-15
集中式P2P網路
• 中央索引伺服器,用來記錄資源的索引資訊及回
應用戶對資源的查詢
• 一但伺服器發生錯誤,就無法運作
• Napster
網路安全
13-16
非結構化P2P網路
•
•
•
•
沒有中央索引伺服器
採大量查詢
網路規模愈大,效率愈低
Gnutella
網路安全
13-17
P2P Botnet
• 如果採用peer to peer協定,可以形成隨機拓樸,
不必擔心C&C server crash,也更隱蔽且更具強韌
性
• 因為沒有中控的server,以至於無法同時將命令傳
給所有Bots,所以無法達到進行DDoS攻擊時效性
的要求
網路安全
13-18
P2P Botnet (續)
Commands
Co
m
m
an
ds
mm
o
C
ds
n
a
網路安全
13-19
HTTP Botnet
• 利用HTTP協定發佈命令與控制
• 透過架設的網頁伺服器或利用社群網站發佈命令
• HTTP Botnet走80PORT,防火牆不易阻止
網路安全
13-20
HTTP Botnet架構
Commands
網路安全
13-21
HTTP Botnet架構 (續)
botmaster
Internet
Web server
Command & Control (C&C)
bot
DDoS attack
SPAM
Identity theft
victim
網路安全
13-22
HTTP Botnet控制流程
• Botmaster 透 過 Internet 連 接 至 Web Command &
Control(C&C)server
botmaster
Internet
Web server
Command & Control (C&C)
網路安全
13-23
HTTP Botnet控制流程 (續)
• Bots向Web Command&Control server查詢是否有來
自Botmaster的指令,並作更新
botmaster
Internet
Web server
Command & Control (C&C)
bot
網路安全
13-24
HTTP Botnet控制流程 (續)
botmaster
• Bots 根 據 Botmaster 指
令 依序作 出回應 ,如:
Internet
– 發送垃圾郵件
– 進行DDoS攻擊
Web server
Command & Control (C&C)
bot
DDoS attack
網路安全
SPAM
victim
13-25
殭屍網路控制命令
• 殭屍網路控制命令方式,存在下列兩種模式:
– 主動連線至Connection to C&C Server
– Bot開啟後門,被動接受來至C&C之控制指令
網路安全
13-26
主動連線至Connection to C&C Server
• Bot會去檢查是否有連上網路
BOT
Internet ?
網路安全
13-27
主動連線至Connection to C&C Server (續)
• 如果有,則連上WEB C&C server
BOT
Yes!!
Report to C&C Server
Packet
GET
/botnet/getcommand.php?getcmd=1
&uid=pcname&port=2121
HTTP/1.0\r\n
User-Agent: USERAGENT
\r\nHost: 192.168.11.130
\r\n\r\n
網路安全
Web server
Command & Control (C&C)
13-28
主動連線至Connection to C&C Server (續)
• 反之,則先休息1 min再作檢查
BOT
No!! Sleep 1 min
Then check again
網路安全
13-29
主動連線至Connection to C&C Server (續)
• 從WEB C&C server得到來自Botmaster下達的指令
BOT
‧Update Bot
‧Insert Bot
Get Command:
‧Update new version
‧DDOS attack
Web server
Command & Control (C&C)
網路安全
13-30
主動連線至Connection to C&C Server (續)
• Bot每15分鐘向WEB C&C server作查詢是否有新
的命令
BOT
Sleep 15 mins
Web server
Command & Control (C&C)
網路安全
13-31
Bot開啟後門,被動接受來至
C&C之控制指令
• Bot會開啟後門並隨時注意是否有Botmaster連線資
訊
BOT
Listen !!
Backdoor
‧Port 2121
網路安全
13-32
Bot開啟後門,被動接受來至
C&C之控制指令 (續)
• Botmaster與Bot連結,利用port2121作命令傳輸
BOT
Backdoor
‧Port 2121
‧Setting Connection
Web server
Command & Control (C&C)
網路安全
13-33
Bot開啟後門,被動接受來至
C&C之控制指令 (續)
• Bot 對 連 線 作 驗 證 , 判 別 是 否 來 自 WEB C&C
server
BOT
Receive !!
Backdoor
‧Verify AUTH
Web server
Command & Control (C&C)
網路安全
13-34
Bot開啟後門,被動接受來至
C&C之控制指令 (續)
• 接受Botmaster下達的命令
BOT
Backdoor
‧Send Commands
Web server
Command & Control (C&C)
網路安全
13-35
結論
• 殭屍網路一開始是幫助使用者遠端控制主機的一
個補助工具,但是由於黑客為了獲取利益所以竄
改原程式,變成惡意程式
• 殭屍網路是透過感染許多的受害主機,偷取其機
密資料並監控使用者,或是透過受害主機,藉由
它們龐大的運算資源,攻擊大型網站
• 採用不同的網路協定,會有本質上不同的殭屍網
路,但是其攻擊目的大多類似
網路安全
13-36
Module 13-3:Botnet實務(**)
網路安全
13-37
說明
• 殭屍網路(BotNet)是指受感染之主機猶如殭屍般任
由控制者操控,駭客藉由網路(Http或IRC)等遠端
控制受感染的主機,可發動網路攻擊
• 包括帳號密碼及鍵盤側錄(keystroke logging)竊取
私密資料、網路釣魚(Phishing)、散布垃圾郵件
(SPAM)、發動分散式阻斷式服務(DDoS),恐嚇受
駭網站等犯罪行為
網路安全
13-38
說明 (續)
• 架設實作(一):HTTP Bot架設步驟
• 架設實作(二):BotNet攻擊過程演練實作
網路安全
13-39
模擬情境圖
1.安裝Control Panel
4.執行惡意程式
感染成為Bot
6.連結Control
Panel
2.製作惡意程式
5.連結C&C Server
回報與執行命令
3.社交散佈惡意程式
網路安全
13-40
實驗環境介紹
• 以Testbed建立一實驗,相關拓樸及設定如下圖
Botmaster
OS:
zeusbot
IP:10.1.1.3
安裝軟體:
Firefox瀏覽器
CCserver
OS:
zeusbot
IP:10.1.1.2
安裝軟體:
Zeus control
panel
Victim
OS:
WINXP- SP3 –
CH-pc3000
IP:10.1.2.3
安裝軟體:
惡意程式
網路安全
13-41
實驗環境介紹(續)
建立完成的實驗拓樸
網路安全
13-42
架設實作(一)
HTTP Bot架設步驟
網路安全
13-43
Zeus Botnet簡介
• Zeus是前十大最具傷害性的殭屍網路,其最主要
的威脅在於紀錄網頁的使用者登入資訊與盜取網
路銀行的帳密等
– (2010年前十大殭屍網路排行: 1. Stuxnet 2. Rustock
3. Koobface 4. Lethic 5. Grumbot 6. Pushdo 7.
Bredolab 8. Zeus 9. Mariposa 10. Waledac)
• Zeus的控制模式是藉由HTTP protocol,當受害主
機執行惡意程式後,主機將遭受感染成為bot,並
且與殭屍網路控制者藉由C&C Server取得聯繫
• Zeus可以記錄下大多數經由HTTP port 80的各式網
頁登入資訊與銀行帳密資料
網路安全
13-44
Zeus環境建置
• 於CCServer上
– 安裝AppServ(請參考M12)
• 將MySQL密碼設為security
網路安全
13-45
• 安裝ZeuS Control
Panel
– 將C:\zeus\Zeus
2.0.8.9\zeus資料
夾放入
C:\AppServ\www
中
網路安全
13-46
Zeus環境建置
– 於Botmaster主機上
使用Firefox連結
http://10.1.1.2/zeus/i
nstall,彈出 control
panel 安裝頁面
– 利用此頁面設定
control panel資訊
– 點擊Install執行安裝
– Control panel 安 裝
完成
security
security
secret key
網路安全
13-47
Zeus環境建置
• 安裝完成
網路安全
13-48
Zeus環境建置(Builder)
2.點擊Edit config,彈出config file
3.修改config file並儲存
(紅線處修改為Web Server路徑)
PS.此部份僅列出過程
相關檔案已放置於
C:\zeus\zeus 2.0.8.9\zeus\
5.點擊build loader按鈕,
底下
編譯及產生惡意程式檔
1.開啟ZeuS builder編譯器
4.點擊build config按鈕,
編譯及產生configuration file
網路安全
13-49
Botmaster連結Control Panel
• 連結http://10.1.1.2/zeus/cp.php
• 輸入帳密,登入control panel
網路安全
13-50
Victim感染
• 於 Victim 主 機 中 , 使 用 瀏 覽 器 取 得
http://10.1.1.2/zeus/bot.exe,並執行
• 一般Bot會使用社交工程讓受害端執行
網路安全
13-51
Botmaster查看Bot
• Botmaster連結成功進入Control Panel,可看見遭受
感染的主機數目
網路安全
13-52
取得Bot畫面
1.點選Bots
2.點選主機
3.點選Full Information + Screen shot
網路安全
13-53
取得Bot畫面 (續)
網路安全
13-54
架設實作(二)
BotNet攻擊過程演練操作
網路安全
13-55
Bot竊取信息
• Victim在網站註冊資
料(本實驗以
http://uploading.com/pr
emium/ 為例)
• 使用者輸入個人資料
送出
• Bot同時將這些註冊資
料回報給C&C Server,
並存放在資料庫中
網路安全
13-56
Bot竊取信息 (續)
• Botmaster查看report清單
網路安全
13-57
Bot竊取信息 (續)
使用者註冊資料確實皆已被記錄,
Botmaster可清楚看到
網路安全
13-58
Bot封裝
• 部份Bot為避免被偵測,會在製作時加入封裝及混
亂之機制以減少被偵測出來之機率
• 以zeusbot為例,我們將Bot上傳至virustotal進行防
毒軟體的偵測,並在封裝後,在進行一次檢測來
比較兩次之差別
網路安全
13-59
Bot封裝 (續)
封裝前偵測率為
34/41,封裝後為14/42
網路安全
13-60
結論
• 本次BotNet實作教學用意是瞭解BotNet的形成、
可能散佈方式以及造成之危害性
• 從實驗過程中,我們可知BotNet隱密性很高,遭
操控之殭屍主機很難發現其已被控制;並且除了
機密資料可能被竊取,造成嚴重商業損失之危害
外,個人隱私生活亦有可能遭窺視
• 透過本次實驗,希望能協助檢視個人上網行為模
式,避免可能感染殭屍病毒之行為,以期能降低
病毒感染之風險
網路安全
13-61
習題
網路安全
13-62
習題一
• Botnet依照傳輸類型可分為哪幾類?
網路安全
13-63
習題二
• 藉由實作的經驗,駭客可以藉由Botnet實作出那些
攻擊?
網路安全
13-64
習題三
• 藉由實作的經驗跟學習,哪些防護手段可以有效
抵擋Botnet攻擊?
網路安全
13-65
Module 13-4: Botnet的專案實作(**)
網路安全
13-66
專案目的
• 建置Botnet網路。
• 藉由實際操作Botnet讓同學了解Botnet的實際運作
方式,並了解Botnet的威脅
網路安全
13-67
專案描述
• 假設你扮演一位駭客,為了竊取使用者消費資訊,
因此入侵一般電腦使用者,藉由Botnet的方式監控
並取得資訊
• 請參考環境配置圖,完成以下要求
建置Botnet所需的環境
使用封裝後之程式將一般使用者感染Botnet(提示:
可查詢Themida及ASProtect軟體),並比較辨認率
藉由Botnet進行攻擊取得使用者資訊及高品質之畫
面(提示:請於CCSever之網頁中尋找)
取得使用者之gmail帳號及密碼(請勿使用真實之帳
號)
網路安全
13-68
實驗環境介紹與建置
• 以Testbed建立一實驗,相關拓樸及設定如下圖
Botmaster
OS:
zeusbot
IP:10.1.1.3
安裝軟體:
Firefox瀏覽器
Victim
OS:
WINXP- SP3 –
CH-pc3000
IP:10.1.2.3
安裝軟體:
惡意程式
CCserver
OS:
zeusbot
IP:10.1.1.2
安裝軟體:
Zeus control
panel
網路安全
13-69
參考資料
•
•
•
•
•
•
•
•
•
•
成功大學Testbed平台
Testbed@TWISC, http://testbed.ncku.edu.tw
趨勢科技WTP Add-On 網頁威脅防禦工具
http://www.trendmicro.com.tw/wtp/micro/index.asp
Botnet Wikipedia
http://en.wikipedia.org/wiki/Botnet#Types_of_attacks
A TASTE OF HTTP BOTNETS ,Cymru
http://www.team-cymru.com/ReadingRoom/
New P2P Botnet Arising,SECURELIST
http://www.securelist.com/en/blog/11114/New_P2P_Botnet_A
rising
網路安全
13-70