三、国内“僵尸网络”的起源和发展
早在2001年,国内一些安全爱好者就开始研究僵尸程序,起初只是出于对这种新技术的学术研究,而且没有将这些原本就不带有很多恶意功能的僵尸程序流传出来,所以并没有出现什么危害。但国外的僵尸网络发展早我们很多,受国外技术和正在泛滥的僵尸程序的影响,越来越多的国内编程爱好者着力打造自己的僵尸程序,促使了全球范围的僵尸网络的迅速发展。2003年3月8日,在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络,它的一个特点是:被它感染的计算机会主动和境外的13个IRC服务器建立连接,并且能够窃取受感染计算机上的敏感信息。
如果说从2001年那种局限的研究,到2003年的口令蠕虫,并没有给我们的网络安全带来太多严重的害处,而经过几年的技术研究和积累,僵尸程序的开发也逐渐被一些动机不纯的“家伙”所掌握。2004年末爆发的一场浩荡的僵尸网络攻击事件,就将这个埋藏在中国数年之久的隐患释放,造成的影响也让国内乃至全球的网络安全工作者震惊。
2004年底,CNCERT/CC在处理一起网络安全事件的过程中,发现一个被黑客集中控制的、规模达到近十万个节点的计算机群。由于对网络和大批用户构成严重的安全威胁,从而受到国家有关部门的关注。这也是国内首次发现的大规模的僵尸网络,标志着国内僵尸网络的诞生。
发现事件的制造者乃是唐山一名黑客,他利用自己编写的僵尸程序组建成一个庞大的僵尸网络,对北京一家知名音乐网站进行拒绝服务攻击,导致该网站几十万注册用户无法正常访问,造成重大经济损失。在公安部门、国家某安全实验室CERT小组和其他技术部门的通力协作下,于次年初破获这起重大的网络安全事件。通过对该僵尸网络的追踪定位以及公安部的全力追查,长达三个月的攻击终于被停止,网站也得以恢复。
也就在国内这次僵尸网络的大曝光后,紧接着就是越来越多携带Bot的蠕虫涌入中国安全不完善的互联网。IRC Bot蠕虫家族越来越庞大,从去年十一月进行了一次Bot蠕虫的统计,统计报告显示,SDBot家族占到整个BOT Worm家族的45%,成为最流行的傀儡虫,RBot也占到19%,AGOBot以13%的比例排名第三,紧随其后的SPYBot、MYTob分别以 10%和8%。而这只是几个月前的统计分析,Bot爆发速度之快,是人们难以想象的。
去年8月,国内某安全实验室率先向国家和其他兄弟单位报告了Zotob的出现,该蠕虫是IRC Bot家族中新的一员,利用微软MS05-039漏洞进行传播。就在短短几天时间内,该蠕虫就产生出若干个变种,使其成为IRC Bot傀儡虫家族中的“新贵”。
此外,该实验室的VDS病毒监控系统为我们提供了另一组数据,我们对从2004年的9月到2005年9月所检测捕获到的Bot样本数量进行了统计。其中,在04年的11月,捕获到的Bot样本数达到最高峰,数量在15000左右,进入2005年检测到的样本数趋于稳定,都在10000左右。
僵尸网络的发展,不只是其新的僵尸程序的出现,还反映在僵尸蠕虫在所有蠕虫中的比重越来越高。它们较一般的蠕虫,能更快的传播,并且攻击者通过蠕虫传染所获得的利益也更大,因此攻击者更倾向于使用这种“可回收”、更强大的僵尸蠕虫。在去年年初,僵尸蠕虫就以78%左右比重雄居蠕虫榜首,在对蠕虫统计时,发现在九月僵尸蠕虫达到全年高峰,以86%的数值创造了僵尸蠕虫在所有蠕虫中的比例新高。
自去年6月份以来,僵尸网络数量呈上升趋势。其中,从6月3日至9月19日,发现较大规模僵尸网络59个,平均每天发现3万个僵尸网络客户端,特别是在去年8月19日到9月19日期间,他们监控发现了一个客户端规模超过15万的大型僵尸网络。2005年9月平均每天就有将近200个僵尸网络处于活跃状态,而每个僵尸网络所控制的节点也不在少数。其中,僵尸计算机数在200-500范围内的僵尸网络占所有僵尸网络的27%,而在500-1000的占 18.5%,1000-5000的占17%,5000-10000占1%,规模在一万个节点以上的也有5%存在。
 |
|
图-3 近年僵尸网络在国内的发现情况 |
如图-3所示,从2000年至今,僵尸网络的发展态势处于强势阶段,由于传播僵尸程序的途径的多变和各类入侵技术的复合使用,加之国内网络安全状况的不完善,人们安全意识不足,僵尸网络的爆发会越来越频繁。
就全球感染情况来说,目前,英国是感染Bot最多的国家。如表-2所示,已知感染Bot 的计算机中有32%来自英国,19%来自美国,7%来自中国,我国的Bot感染率赫然名列第三。安全公司表示,中国的宽带建设和网民增加的幅度巨大,而僵尸网络的控制用户一般都是普通的个人宽带客户或SOHO用户,他们的安全意识和安全措施都相对薄弱,而且由于中国不少地区采用上网包月制收费方式,使这些用户的电脑长期与高速互联网相连,为Bot植入提供了基础。
 |
|
表-2 全球僵尸计算机增长情况 |
根据去年九月的另一份调查报告显示,全球的僵尸网络控制中心绝大多数分布在美国,比例达到36%,而中国以4%的比重与英国等几个国家共同名列第六位。如图-3,这表明中国的僵尸计算机感染率增长迅速,而感染源大多来自国外,也就是说国内的僵尸网络还处于一个初步发展阶段。
 |
| 图-4 全球网络僵尸控制中心节点分布图 |
从以上几个方面来看,中国的僵尸网络发展迅速,尤其以僵尸程序的感染增长迅猛,而随着网络僵尸的深入研究和技术的普及,由中国境内控制的僵尸网络也正在快速崛起,数量渐渐逼近高Bot感染的其他国家,且规模越来越庞大。据调查,2005年4月和5月间,每天约有15-17万的新的僵尸程序出现。其中,位于中国的为15%-20%。中国与美国交替名列Bot感染源数量的榜首。我们无从验证这些数字的准确性,但是各种统计数字和安全事件都表明一个趋势:僵尸网络的数量、规模和危害级别正在迅速增长。
进入2006年,僵尸程序在不断增加新功能的同时,更加注重隐藏自身。由于rootkit技术引入,让僵尸程序能够更好的隐藏自己,而不被Ring 3的检测工具检测出来,延长了僵尸程序的生存时间。对BOT蠕虫的rootkit使用情况进行了分析,在去年的十月份达到顶峰。
从以上的统计分析可以看出,自2003年起BOT傀儡虫的数量已呈等比级数成长,它们变得愈来愈复杂,也愈来愈危险,而且已证明一旦有任何网络安全弱点被发现,随即就可能遭它们利用。去年公安部与相关技术部门查出的BOT网络涵盖全球超过20万个受害者。BOT已经迅速演变成最令人畏惧的安全威胁之一,而且它的破坏威力可能没有任何安全威胁可与之匹敌。现在BOT蠕虫就像是所有恶意程序的瑞士刀,因为它们具备散发大量电子邮件的能力、可搭配 Rootkit使用、针对网络安全弱点攻击能力等等,因此侦测数量不断向上攀升。各个主要的BOT家族分别拥有数千个留有记录的不同变种。由于 Rootkit的运用,以及安全弱点从被发现到实际运用于攻击之间的时间缩短,BOT傀儡虫形成的僵尸网络,将会发展出更多强大的功能。黑客使用BOT僵尸网络能为它们的创造者带来极大的非法利益,预计今年侦测到的新变种数量将会增加,所有的BOT,不论是已侦测出还是未侦测出的,都将被不断出现的功能更强、隐蔽性更高的新变种所取代,而导致对于僵尸网络的侦测、追踪和监控面临更大的挑战。
新一代的僵尸网络的利用手段,传统的僵尸网络更多的是趋向于网络ddos攻击,由去年开始已经转变到利用庞大的僵尸兵团来完成点击广告,刷网络流量,通过控制端来完成针对傀儡主机上广告插件的安装,基本操作步骤如下
控制端给僵尸兵团中的傀儡主机---------------发送信息------------------------傀儡主机执行命令---- ---------访问早已设置好的一个ip地址---------------------通过访问该ip地址来下载一个广告插件---------- ------------造成一联网就默认访问已捆绑好的需要刷流量的网络主页-------另一种思路是:直接访问在国外架设好的色情站点------ -下载木马------傀儡主机(一个机构服务器)在内网进行arp欺骗或者pdf益处,来达到内网深度感染---------完成扫描和探测,发现机密信息或者商业内幕信息-----------------进行暗箱操作,完成黑色交易
总述:僵尸网络更加趋向于智能化,由原来的不可控型变成了可控制,实现指哪打哪的新型战术。随着互联网的迅猛发展,国内外的信息资源的共享,相信还会出现更多层出不穷的网络攻击,这也给我们这些从事网络安全研究的技术人员增添了更多的无形的对手,有矛就有盾,在攻与防之间,也促使我们更多的学习更先进的技术,和研究出更有效的解决方法邪恶是战胜不了正义的,天网恢恢疏而不漏。
同时在这里我要感谢安天实验室cert组给我提供的一些详实的记录数据,同时我也在这里奉劝那些想学黑客的那些爱好者们,想学技术是没有错的,但是你学习的心态一定要放好,不要以为黑下几个站点,利用木马获得一些游戏装备,利用字典工具配合傻瓜行入侵软件获得几个qq号。破了一些别人的信箱就以为这就是黑客,那你就大错特错了,真正的黑客是从不做这些的,要说黑客,最大的黑客应该给billgates和linux之父。但是人家更多的是想着是如何的让自身的系统更加的完善,更好的为我们服务。
| 共2页: 上一页 [1] 2 |