僵尸病毒网络研究报告

僵尸病毒网络研究报告

一、 僵尸病毒网络概念简介

僵尸病毒网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。如图1表示：

在Botnet的概念中有这样几个关键词。“

bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。僵尸网络是一种由引擎驱动的恶意因特网行为：DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击

有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。

DDoS 攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。

二、 僵尸病毒网络特点

1. 是一个可控制的网络，但并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。僵尸病毒被人放到计算机时机器会滴滴的响上2秒。

2. 这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。如图：2-1表示

3. Botnet的最主要的特点，是可以一对多地执行相同的恶意行为。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这

也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

三、 僵尸病毒网络出现原因

僵尸病毒网络出现的原因有很多，总的归纳来说有以下几种：

1. 僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑

客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。

2. 发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控

制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

3. 对用户而言，感染上“僵尸病毒”却十分容易。网络上不小心点

击不了解的网页并弹出恶意的窗口后，自动会下载有问题的软件。一旦这种有毒的软件进入到用户电脑，远端主机就可以发号施令，对电脑进行操控。下载时只用一种杀毒软件查不出来。

4. 专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远

端主机指挥，进行各种不法活动。多数时候，僵尸电脑的用户根本不了既然自己已被选中，电脑被僵尸病毒控制。

5. 僵尸网络之所以出现，还有一个重要原因是用户将电脑带回家高

速上网越来越普遍。高速上网可以处理(或制造)更多的流量，但

高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。

四、 僵尸病毒网络研究方法

对于目前比较流行的基于IRC协议的Botnet的研究方法，主要使用蜜网技术、网络流量研究以及IRC Server识别技术。

1. 使用蜜网技术

蜜网技术是从bot程序出发的，可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是，首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本；当获得bot程序样本后，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录Botnet所需要的属性，如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后，使用伪装的客户端登录到Botnet中去，当确认其确实为Botnet后，可以对该Botnet采取相应的措施。

2. 网络流量研究

网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征，将僵尸主机分为两类：长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸计算机一般会长时间在线；三是僵尸计算机作为一个IRC聊天的用户，在聊天频道内长时间

不发言，保持空闲。将第一种行为特征归纳为快速加入型，将第二、三种行为特征归纳为长期发呆型。

研究对应这两类僵尸计算机行为的网络流量变化，使用离线和在线的两种分析方法，就可以实现对Botnet的判断。

3. IRC技术

通过登录大量实际的基于IRC协议的Botnet的服务器端，可以看到，由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时，通过对bot源代码的分析看到，当被感染主机加入到控制服务器时，在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结，就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则，这样就可以直接确定出Botnet的位置及其规模、分布等性质，为下一步采取应对措施提供有力的定位支持。

以上三种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少，原因是由于其实现比较复杂，在网络中并不占有太大比例，同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展，对于P2P结构的Botnet的研究也将进一步深入。

五、 僵尸病毒网络应对措施

1. 采用Web过滤服务

Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。

Websense、Cyveillance 、FaceTime都是很好的例子。它们都可以实时地监视互联网，并查找从事恶意的或可疑的活动的站点，如下载JavaScript或执行screen scrapes等正常Web浏览之外的其它骗局。

2. 转换浏览器

防止僵尸病毒感染的另一种策略是浏览器的标准化，而不是仅仅依靠微软的Internet Explorer 或Mozilla 的Firefox.当然这两者确实是最流行的，不过正因为如此，恶意软件作者们通常也乐意为它们编写代码。

3. 禁用脚本

一个更加极端的措施是完全地禁用浏览器的脚本功能，虽然有时候这会不利于工作效率，特别是使用了定制的、基于Web的应用程序。

4. 部署防御系统

另一种方法是调整你的IDS(入侵检测系统)和IPS(入侵防御系统)，使之查找有僵尸病毒特征的活动。例如，重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。虽然难于发现，不过，另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升，特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。需要找到那些将电子邮件路由到其它服务器而不是路由到自己的电子邮件服务器的机器，它们也是可疑的。监视在高层对Web进行访问的电脑。它们会激活位于一个Web页面上的所有的链接，而一个高层次的访问可能会指明一台机器正被一个恶意的Web站点

所控制。

一个IPS或IDS系统可以监视不正常的行为，这些行为指明了难于发现的、基于HTTP的攻击和来自远程过程的攻击、Telnet和地址解析协议(即ARP)欺骗等等。然而，值得注意的是，许多IPS检测器使用基于特征的检测技术，也就是说，这些攻击被发现时的特征被添加到一个数据库中，如果数据库中没有有关的特征就无法检测出来。因此，IPS或IDS就必须经常性的更新其数据库以识别有关的攻击，对于犯罪活动的检测需要持续不断的努力。

六、 如何预防僵尸病毒网络入侵

针对近期在海南基地发现的僵尸病毒情况，采取以下措施进行预防病毒：

1. 对全网计算机操作系统进行检查，使用漏洞扫描工具对全网计算机进行漏洞扫描，对存在漏洞的计算机进行修补。

2. 对全网计算机安装杀毒软件情况进行检查，实现100%安装杀毒软件。

3. 对全网计算机提高安全系数，因为当下有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此计算机使用复杂密码登录是非常必要的。

4. 对全网计算机是否开启系统防火墙情况进行检查，实现100%开启率。

5. 提高用户的安全意识，不打开来历不明的邮件及附件，不上不了解的网站、不执行从 Internet 下载后未经杀毒处理的软件等。

6. 要求全网计算机安装安全管理软件，安全管理类软件是时下新兴的一种电脑安全类软件。这些安全管理软件，能给你的电脑提供全面的安全防护、软件管理、系统优化等功能，帮助我们更方便的使用电脑。 7. 对于已查出中病毒的电脑立即断网隔绝网络。当计算机发现病毒

或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。