1 / 26

1. 摘要、緒論 2. 檢測的方式及分類 2.1 形成。 2.2 週期。 2.3 IRC-bot 。 2.4 P2P-bot 。 2.5 bot 類型。 3.bot 攻擊

Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures 殭屍網絡:分類、攻擊、檢測、 追蹤,及預防措施.

fell
Download Presentation

1. 摘要、緒論 2. 檢測的方式及分類 2.1 形成。 2.2 週期。 2.3 IRC-bot 。 2.4 P2P-bot 。 2.5 bot 類型。 3.bot 攻擊

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures殭屍網絡:分類、攻擊、檢測、 追蹤,及預防措施 Jing L., Yang X., Kaveh G., Hongmei D., & Jingyuan Z (2009, Jul 19). Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures. EURASIP Journal on Wireless Communications and Networking. 2009, 1-7. Retrieved Jan 11, 2010 from the World Wide Web: http://www.hindawi.com/journals/wcn/2009/692654.html

  2. 概要 • 1.摘要、緒論 • 2.檢測的方式及分類 • 2.1形成。2.2週期。2.3 IRC-bot。2.4 P2P-bot。 • 2.5 bot類型。 • 3.bot攻擊 • DDoS攻擊、垃圾郵件、洩密、欺騙點擊、身份詐欺。 • 4.檢測及追蹤 • Honeypot、IRC檢測、DNS檢測 • 5.預防措施(因應對策) • 結論及未來挑戰

  3. 1.摘要、緒論 • 殭屍網路普及有線和無線網路。 • 殭屍網路的基本概念、形成、生命週期、和相關的攻擊、偵測和追蹤對策。 • 名詞:Bot、Scrumping。 • 兩個主要的結構(IRC、P2P)。 • IRC:集中式架構,(較多人研究及提出可行性) • P2P:更難發現,(處於分析階段) • 探測使用Honeypot. • 垃圾郵件:黑名單。 損害管理、更新。 • 殭屍網路檢測和預防、分析功能。

  4. 2.檢測的方式 • 檢測方式的分類大致上有很多 • 屬性(傳播機制C&C)、開發策略、設置命令、資料流分析方式檢測殭屍網路、結合應用層及網路層的分析、在應用層監測信息的方式,引入bot學習技術檢測…。 • 目前:Honeynets和IDS (Intrusion Detection System入侵偵測系統)是兩個最主要的技術。

  5. 2.1 形成與開發 • 利用殭屍網路發送垃圾郵件的範例。 • 形成殭屍網路的步驟:

  6. 2.2 殭屍網路的生命週期 • 殭屍網路和bot的生命週期

  7. 2.3 IRC基礎的BOT(介紹) • 文字基礎、基於C/S(Client/Server)模式。 • mIRC:使用多個IRC伺服器連接。 • 典型的IRC攻擊模式如下圖 • BOT • 控制通道 • IRC伺服器 • 攻擊者

  8. 2.3 IRC基礎的BOT(攻擊4步驟) • 攻擊者的四個步驟 • (1)創建階段:添加代碼或修改現有BOT 。 • (2)配置階段: • 收集IRC服務器、通道信息。 • 安裝BOT的受害者,會自動連接到選定的主機。 • 提供列表,BOT授權用戶可進一步自定義和使用 • (3)感染階段: • 直接:利用漏洞和病毒。但受攻擊的系統 易有損害但節省時間。 • 間接:使用其他的代理程式如惡意軟體。 • 。(4)控制階段:發送指令惡意任務。

  9. 2.4 P2P基礎的BOT(介紹) • Slapper:蠕蟲點對點的方式。 • P2P殭屍網路: • 2002年,Linux的DoS攻擊,虛擬Client • 2003年,Sinit出現:利用公鑰加密認證更新。 • 2004年,Phatbot:用P2P發送命令到其它主機 • 目前:Storm Worm:目前最廣泛的P2P BOT。 • 專家是利用二進位及網路追蹤進行分析。 • 另外提出基於P2P殭屍網路來破壞通訊,如遮蔽內容和汙染檔案。 • P2P弱點: • 有一個中央伺服器或與誰連繫的名單

  10. 2.4 P2P基礎的BOT(架構) • C&C (command and control)混合架構下的P2P殭屍網路 • 有三個特點 • 不需引導 • 有限主機被俘 • 輕鬆被控制

  11. 2.5 BOT的類型(1/4) • 多種廣泛已知的bot及其特徵:

  12. 2.5 BOT的類型(2/4) • 多種廣泛已知的bot及其特徵:

  13. 2.5 BOT的類型(3/4) • 多種廣泛已知的bot及其特徵:

  14. 2.5 BOT的類型(4/4) • 多種廣泛已知的bot及其特徵:

  15. 2.5.1 常見BOT-Agobot(1/2) • Agobot介紹 • 使用C/C++,跨平台、IRC控制協議。 • 標準資料結構、模組化、代碼檔,容易增加攻擊命令到CCommandHandler or CScanner class • 用標準及特殊IRC命令獲取敏感資訊。 • (如要求BOT做基本操作,訪問檔案被感染主機的bot.open指令) • 關閉NetBIOS、RPC-DCOM(遠端程式呼叫)來確保系統 • 不同命令控制。(Pctrl、inst)

  16. 2.5.1 常見BOT-Agobot(2/2) • Agobot特性 • IRC基礎的C&C架構。 • 各種DoS攻擊、可攻擊大數量的目標 • 有外殼編碼功能 • 界定多型混亂、鍵盤記錄或搜尋登錄記錄 • 通過流量獲得敏感資訊(libpcap的資料封包) • 由修補漏洞躲避防毒軟體檢測、關閉後門 • 停止使用反病毒網站(用NTFS的交換資料流隱藏) • 它可檢測debuggers避免被移除 (例SoftICE、Ollydbg、虛擬機如VMware、虛擬 PC) • 找新受害者,簡單地掃描預定範圍

  17. 2.5.2 常見BOT-SDBot • SDBot介紹 • C語言,代碼不超過2500行。 • 命令集和特徵類似Agobot,由GPL發布。 • 沒有傳播能力,只有簡單的主機控制功能。 • 攻擊者喜歡用,因為易於擴展。 • 有自己的IRC功能,(如Spying和cloning) • 小型IRC,連接IRC伺服器,發送身份訊息(如USER和NICK),再從伺服器獲得許可(PING),就會承認(PONG)的連結。 • 用掃瞄工具,SDBot可輕易下個受害者(如NetBIOS Scanner) • 能發送ICMP和UDP封包

  18. 2.5.3 常見BOT-SpyBot • SpyBot介紹 • C語言,不超過3000行,現幾乎都是變種。 • SpyBot是增強版的SDBot。 • 除了基本的執行命令,又有掃瞄功能、主機控制功能、模組化的DDoS攻擊和洪水攻擊(如TCP SYN、ICMP和UDP)。 • SpyBot的主機控制能力和Agobot相似。 • Agobot在遠端命令執行、程序/系統操作、鍵盤記錄、本地檔案操作。 • 但Spybot蠕蟲仍沒有像Agobot的廣泛性和模組化的能力。

  19. 2.5.4 常見BOT-GTBot • GTBot介紹 • 被稱為Aristotles(亞里斯多德) • 所有m-IRC基礎變種的bot代表,廣泛用於Windows。 • 有一般功能如:IRC主機控制、DoS攻擊、port掃瞄、NetBIOS/RPC開發,還提供有限的二進位的mIRC scripts。 • 二進位功能: • HideWindows:mIRC隱形 • 記錄每個遠端主機收到命令後的回應。 • 擴大mIRC通過DDL,通常存在「.mrc」 • 二進位檔檔名mIRC.exe

  20. 3. Botnet攻擊(1/5) • 合法和非法的目的。 • 合法目的:支持IRC通道使用管理權限的操作 • 使用Honeypot的記錄資料分類為: • DDoS攻擊、垃圾郵件、信息洩露… • DDoS攻擊 • 消耗受害者網路服務系統頻寬。 • 最常用TCP SYN和UDP洪水攻擊。 • 對策:控制大量受損機器、禁用遠端控制機制 Freiling(弗賴林)等建立一個辦法,防止 DDoS攻擊透過探索隱藏在Honeyopts.

  21. 3. Botnet攻擊(2/5) • 傳播垃圾郵件和惡意軟體 • 70~90%的垃圾郵件由殭屍網路散播。 • 若使用SOCKS v4/v5 Proxy被有些bot打開,這些bot可執行惡意攻擊(如垃圾郵件) • 一些bot可收集e-mail地址。 • 對策 • 提出分散式內容獨立的垃圾郵件分類系統,稱為Trinity(三位一體)。但不知有效性,實驗中。 • 用總行為發現垃圾郵件殭屍網路。AutoRE • 傳播惡意軟體: • 殭屍網路可展開Witty蠕蟲攻擊ICQ協議,如果受害者系統沒有開啟ISS服務。

  22. 3. Botnet攻擊(3/5) • 信息洩露 • 一些bot不只可嗅出被感染機器的流量,也可命令被害人的資料(犯罪者可檢索的每感資訊,如用戶名稱和密碼)。 • 企業重要的主機和財務資料,因不影響系統性能,故很難被發現。 • Bot監聽鍵盤活動且回報有用的資訊 • 攻擊者可竊取私人資料和憑證資料。

  23. 3. Botnet攻擊(4/5) • 欺騙點擊 • 在botnet協助下,犯罪者可安裝廣告附件和瀏覽器助手(BHOs)作為商業目的。 • 像google的AdSense計劃,為了獲得更高的點擊率 • 使用botnet定期按特定超連結和點擊。 • 網上投票或遊戲。 • 因每個受害主機的IP是合法的,故每次點擊都視為合法有效的點擊。

  24. 3. Botnet攻擊(5/5) • 身份詐欺 • 又叫身份盗用。 • 網路釣魚是一個典型的例子。 • 包括合法的(如網址),要求提交個人或機密訊息。 • Botnet可設置一些假網站冒充正式的網站竊取受害者資料,一旦假的網站關閉又可彈出,直到關閉電腦。

  25. 4. 檢測和追蹤 • 最普遍使用Honeypots • 其中一個子網路假裝受到木馬損壞,實際觀測攻擊者行為,以確定控制主機。 • 利用Honeypot和其積極的反應,收集bot的二進位文件,在honeypot中假裝被攻破,允許其訪問IRC伺服器。 • 利用內部訊息表追蹤IRC。 • DNS快取在網路上解決IP位址的目的伺服器。

  26. 4.1 Honeypot and Honeynet • 。

More Related