260 likes | 413 Views
Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures 殭屍網絡:分類、攻擊、檢測、 追蹤,及預防措施.
E N D
Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures殭屍網絡:分類、攻擊、檢測、 追蹤,及預防措施 Jing L., Yang X., Kaveh G., Hongmei D., & Jingyuan Z (2009, Jul 19). Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures. EURASIP Journal on Wireless Communications and Networking. 2009, 1-7. Retrieved Jan 11, 2010 from the World Wide Web: http://www.hindawi.com/journals/wcn/2009/692654.html
概要 • 1.摘要、緒論 • 2.檢測的方式及分類 • 2.1形成。2.2週期。2.3 IRC-bot。2.4 P2P-bot。 • 2.5 bot類型。 • 3.bot攻擊 • DDoS攻擊、垃圾郵件、洩密、欺騙點擊、身份詐欺。 • 4.檢測及追蹤 • Honeypot、IRC檢測、DNS檢測 • 5.預防措施(因應對策) • 結論及未來挑戰
1.摘要、緒論 • 殭屍網路普及有線和無線網路。 • 殭屍網路的基本概念、形成、生命週期、和相關的攻擊、偵測和追蹤對策。 • 名詞:Bot、Scrumping。 • 兩個主要的結構(IRC、P2P)。 • IRC:集中式架構,(較多人研究及提出可行性) • P2P:更難發現,(處於分析階段) • 探測使用Honeypot. • 垃圾郵件:黑名單。 損害管理、更新。 • 殭屍網路檢測和預防、分析功能。
2.檢測的方式 • 檢測方式的分類大致上有很多 • 屬性(傳播機制C&C)、開發策略、設置命令、資料流分析方式檢測殭屍網路、結合應用層及網路層的分析、在應用層監測信息的方式,引入bot學習技術檢測…。 • 目前:Honeynets和IDS (Intrusion Detection System入侵偵測系統)是兩個最主要的技術。
2.1 形成與開發 • 利用殭屍網路發送垃圾郵件的範例。 • 形成殭屍網路的步驟:
2.2 殭屍網路的生命週期 • 殭屍網路和bot的生命週期
2.3 IRC基礎的BOT(介紹) • 文字基礎、基於C/S(Client/Server)模式。 • mIRC:使用多個IRC伺服器連接。 • 典型的IRC攻擊模式如下圖 • BOT • 控制通道 • IRC伺服器 • 攻擊者
2.3 IRC基礎的BOT(攻擊4步驟) • 攻擊者的四個步驟 • (1)創建階段:添加代碼或修改現有BOT 。 • (2)配置階段: • 收集IRC服務器、通道信息。 • 安裝BOT的受害者,會自動連接到選定的主機。 • 提供列表,BOT授權用戶可進一步自定義和使用 • (3)感染階段: • 直接:利用漏洞和病毒。但受攻擊的系統 易有損害但節省時間。 • 間接:使用其他的代理程式如惡意軟體。 • 。(4)控制階段:發送指令惡意任務。
2.4 P2P基礎的BOT(介紹) • Slapper:蠕蟲點對點的方式。 • P2P殭屍網路: • 2002年,Linux的DoS攻擊,虛擬Client • 2003年,Sinit出現:利用公鑰加密認證更新。 • 2004年,Phatbot:用P2P發送命令到其它主機 • 目前:Storm Worm:目前最廣泛的P2P BOT。 • 專家是利用二進位及網路追蹤進行分析。 • 另外提出基於P2P殭屍網路來破壞通訊,如遮蔽內容和汙染檔案。 • P2P弱點: • 有一個中央伺服器或與誰連繫的名單
2.4 P2P基礎的BOT(架構) • C&C (command and control)混合架構下的P2P殭屍網路 • 有三個特點 • 不需引導 • 有限主機被俘 • 輕鬆被控制
2.5 BOT的類型(1/4) • 多種廣泛已知的bot及其特徵:
2.5 BOT的類型(2/4) • 多種廣泛已知的bot及其特徵:
2.5 BOT的類型(3/4) • 多種廣泛已知的bot及其特徵:
2.5 BOT的類型(4/4) • 多種廣泛已知的bot及其特徵:
2.5.1 常見BOT-Agobot(1/2) • Agobot介紹 • 使用C/C++,跨平台、IRC控制協議。 • 標準資料結構、模組化、代碼檔,容易增加攻擊命令到CCommandHandler or CScanner class • 用標準及特殊IRC命令獲取敏感資訊。 • (如要求BOT做基本操作,訪問檔案被感染主機的bot.open指令) • 關閉NetBIOS、RPC-DCOM(遠端程式呼叫)來確保系統 • 不同命令控制。(Pctrl、inst)
2.5.1 常見BOT-Agobot(2/2) • Agobot特性 • IRC基礎的C&C架構。 • 各種DoS攻擊、可攻擊大數量的目標 • 有外殼編碼功能 • 界定多型混亂、鍵盤記錄或搜尋登錄記錄 • 通過流量獲得敏感資訊(libpcap的資料封包) • 由修補漏洞躲避防毒軟體檢測、關閉後門 • 停止使用反病毒網站(用NTFS的交換資料流隱藏) • 它可檢測debuggers避免被移除 (例SoftICE、Ollydbg、虛擬機如VMware、虛擬 PC) • 找新受害者,簡單地掃描預定範圍
2.5.2 常見BOT-SDBot • SDBot介紹 • C語言,代碼不超過2500行。 • 命令集和特徵類似Agobot,由GPL發布。 • 沒有傳播能力,只有簡單的主機控制功能。 • 攻擊者喜歡用,因為易於擴展。 • 有自己的IRC功能,(如Spying和cloning) • 小型IRC,連接IRC伺服器,發送身份訊息(如USER和NICK),再從伺服器獲得許可(PING),就會承認(PONG)的連結。 • 用掃瞄工具,SDBot可輕易下個受害者(如NetBIOS Scanner) • 能發送ICMP和UDP封包
2.5.3 常見BOT-SpyBot • SpyBot介紹 • C語言,不超過3000行,現幾乎都是變種。 • SpyBot是增強版的SDBot。 • 除了基本的執行命令,又有掃瞄功能、主機控制功能、模組化的DDoS攻擊和洪水攻擊(如TCP SYN、ICMP和UDP)。 • SpyBot的主機控制能力和Agobot相似。 • Agobot在遠端命令執行、程序/系統操作、鍵盤記錄、本地檔案操作。 • 但Spybot蠕蟲仍沒有像Agobot的廣泛性和模組化的能力。
2.5.4 常見BOT-GTBot • GTBot介紹 • 被稱為Aristotles(亞里斯多德) • 所有m-IRC基礎變種的bot代表,廣泛用於Windows。 • 有一般功能如:IRC主機控制、DoS攻擊、port掃瞄、NetBIOS/RPC開發,還提供有限的二進位的mIRC scripts。 • 二進位功能: • HideWindows:mIRC隱形 • 記錄每個遠端主機收到命令後的回應。 • 擴大mIRC通過DDL,通常存在「.mrc」 • 二進位檔檔名mIRC.exe
3. Botnet攻擊(1/5) • 合法和非法的目的。 • 合法目的:支持IRC通道使用管理權限的操作 • 使用Honeypot的記錄資料分類為: • DDoS攻擊、垃圾郵件、信息洩露… • DDoS攻擊 • 消耗受害者網路服務系統頻寬。 • 最常用TCP SYN和UDP洪水攻擊。 • 對策:控制大量受損機器、禁用遠端控制機制 Freiling(弗賴林)等建立一個辦法,防止 DDoS攻擊透過探索隱藏在Honeyopts.
3. Botnet攻擊(2/5) • 傳播垃圾郵件和惡意軟體 • 70~90%的垃圾郵件由殭屍網路散播。 • 若使用SOCKS v4/v5 Proxy被有些bot打開,這些bot可執行惡意攻擊(如垃圾郵件) • 一些bot可收集e-mail地址。 • 對策 • 提出分散式內容獨立的垃圾郵件分類系統,稱為Trinity(三位一體)。但不知有效性,實驗中。 • 用總行為發現垃圾郵件殭屍網路。AutoRE • 傳播惡意軟體: • 殭屍網路可展開Witty蠕蟲攻擊ICQ協議,如果受害者系統沒有開啟ISS服務。
3. Botnet攻擊(3/5) • 信息洩露 • 一些bot不只可嗅出被感染機器的流量,也可命令被害人的資料(犯罪者可檢索的每感資訊,如用戶名稱和密碼)。 • 企業重要的主機和財務資料,因不影響系統性能,故很難被發現。 • Bot監聽鍵盤活動且回報有用的資訊 • 攻擊者可竊取私人資料和憑證資料。
3. Botnet攻擊(4/5) • 欺騙點擊 • 在botnet協助下,犯罪者可安裝廣告附件和瀏覽器助手(BHOs)作為商業目的。 • 像google的AdSense計劃,為了獲得更高的點擊率 • 使用botnet定期按特定超連結和點擊。 • 網上投票或遊戲。 • 因每個受害主機的IP是合法的,故每次點擊都視為合法有效的點擊。
3. Botnet攻擊(5/5) • 身份詐欺 • 又叫身份盗用。 • 網路釣魚是一個典型的例子。 • 包括合法的(如網址),要求提交個人或機密訊息。 • Botnet可設置一些假網站冒充正式的網站竊取受害者資料,一旦假的網站關閉又可彈出,直到關閉電腦。
4. 檢測和追蹤 • 最普遍使用Honeypots • 其中一個子網路假裝受到木馬損壞,實際觀測攻擊者行為,以確定控制主機。 • 利用Honeypot和其積極的反應,收集bot的二進位文件,在honeypot中假裝被攻破,允許其訪問IRC伺服器。 • 利用內部訊息表追蹤IRC。 • DNS快取在網路上解決IP位址的目的伺服器。