亡灵巫师的魔法大军：大规模僵尸网络.docVIP

亡灵巫师的魔法大军：大规模僵尸网络 Necromancer’s Magic Troop: Large-scale Zombie Network 作者：白远方，VXK October 17, 2008 什么是僵尸网络 僵尸网络(Botnet)，是指黑客成批安装了后门程序，能够进行批量控制的大量普通计算机组成的庞大网络。它兼具了传统蠕虫病毒程序的庞大安装数量和远程控制木马的精确控制能力，不会像蠕虫病毒那样作者也无法控制自己编写的蠕虫的行为，也不会像传统木马后门那样只能控制有限数目的机器。它平时可以隐藏在网络海洋中，不产生什么波澜，但是在需要用到的时候，又可以完全调动成千上万甚至更多傀儡计算机的力量，来完成一些非同寻常的任务，例如在网络中搜集信息，发动大规模DDOS攻击，使用插件引导大量用户浏览或点击网络广告，发送大量广告邮件等。 在上个世纪就已经出现了最早的僵尸网络。早期的僵尸网络通常是由IRC频道进行控制的，直到现在这种形式的僵尸网络可能都是西方的主流。但是IRC僵尸网络存在着一个显著的缺陷，当傀儡计算机的数量较多的时候，所有傀儡机都跟IRC服务器保持连接，服务器的承受能力会受到很大的挑战。现在，很多的中国僵尸网络，使用专门的C/S控制器，例如风云，霸王之类，另外一些则是用网页脚本来向僵尸主机传递命令。 如图，这是国内一个典型僵尸网络的地域分布，很符合国内网民的地理分布。 僵尸网络是如何被组建的 早期的僵尸网络，通常都是采用跟蠕虫病毒类似的机制进行传播的，例如RPC漏洞大范围扫描，MSSQL远程漏洞扫描，MX匿名群发带毒邮件等等。但是在2006年之后，随着大众安全意识的提高，能够进行大范围主动扫描的严重远程漏洞已经基本上绝迹了。 此后流行的是一种被称为“黑站挂马”的传播模式，一般是采用脚本漏洞，SQL注射等手段取得一些访问量比较大的网站的权限，在其页面上挂网页木马进行批量传播。这种手段曾经风行一时，但是现在一般网站的管理员水平普遍有了提高，很多时候花了很多天研究拿下来一个站的权限，挂马没几个小时就被发现了，接着就是马和漏洞全部都被修补掉了。总体来说，靠黑来的网站权限挂马，是不具有长期稳定的可操作性的。 真正比较能够突破技术瓶颈的僵尸网络组建方法，还是要靠社会工程学钓鱼。钓鱼(Phishing)的方法基本上不是很依赖流行的高危漏洞，在没有高危漏洞或者很难获得高危漏洞技术细节的今天，仍然能够组建起庞大的僵尸网络。钓鱼可以有很多很多种：网页钓鱼，黑客建立一个标题和内容看起来非常吸引人的网站，并且堆砌大量热门关键字进行SEO，使得搜索引擎能够更加容易搜索到自己，引诱用户浏览，在网页中夹杂恶意脚本；P2P钓鱼，黑客可以在P2P共享网络中上传大量携带插件的影视，音乐，软件等资源，引诱用户下载；邮件钓鱼，群发大量带毒垃圾邮件，以一些能够诱使用户打开附件或者链接的标题和内容来欺骗用户上当；等等。 举一个非常典型的例子，前些日子流行的熊猫烧香病毒，背后实际上是一个巨大的以盗取网络游戏账号牟利的商业僵尸网络。熊猫烧香病毒本身，仅有非常有限的自我传播能力，靠其自我传播能力远远不可能达到其感染规模。但是这个僵尸网络是如何发展起来的呢？它的背后是大量的垃圾网站站长和黑客组成的共同体。垃圾网站站长制造出大量的垃圾网站，充斥着大量的色情等非常吸引人眼球的搜索关键字和内容，进行SEO诱导搜索引擎在更多的关键字上收录自己，引诱用户前往访问。有些垃圾站站长，一个人可以生成和运营数百个垃圾站点。 黑客则与垃圾站长合作在所有的垃圾站上放置网页木马，自动下载熊猫烧香病毒。用户访问后往往发现，其实只是个“标题党”，除了病毒没有什么实质性内容。数以千计甚至上万的垃圾网站带来了大量的访问量，站长自愿在上面放置木马，这样产生的传播效果，成千上万倍于一两个黑客高手，黑掉几个大网站挂马，往往只能挂几个小时，能够产生的效果。 如图，网上常见的关键词SEO垃圾站，大多都有网页脚本病毒。 僵尸网络如何保护自己 僵尸网络控制程序与传统后门和Rootkit有所不同，主要面向的是大量不熟悉计算机安全的普通用户，因此在技术上对自身隐藏性，穿透性的要求较低，只要求能够对抗常见防火墙和杀毒软件即可。但是麻烦在于，随着网络的增大，不可避免的，各种杀毒软件和插件清理程序就会盯上并且查杀僵尸控制程序，有时几天之内，十几款杀毒软件都会查杀。僵尸网络控制者一般会采取各种手段减少自身程序被查杀的可能。最基本的措施就是对控制程序作免杀处理，使得主流杀毒软件无法识别控制程序的特征。有些僵尸网络控制程序采用更加复杂的措施，例如AV终结者(JAVQHC)携带一个描述主流杀毒软件特征的特征库，将杀毒软件先行杀死，从而保护自己；机器狗会采用HOSTS文件屏蔽掉各大杀毒软件的样本上报网址和论坛