CNCERTCC对僵尸网络的应对措施CNCERTCC-AVAR.ppt

CNCERT/CC关于僵尸网络的应对措施 国家计算机网络应急技术处理协调中心 陈明奇 博士 2005年11月17日 天津 摘要 第一部分 背景 第二部分 发现和处置 第三部分 CNCERT/CC的工作 监测情况和活动规律 应对措施 第四部分 实际案例分析 一 背景 网络安全的传统三大威胁： 病毒/木马/蠕虫（Virus/Trojan/Worm） 拒绝服务攻击（DoS/DDoS） 垃圾邮件 （Spam） 如何应对这些新威胁？ 网络仿冒—APWG 间谍软件—VENDER(MS, AV company) 垃圾信息—尚未引起重视，将无所盾形 僵尸网络—越来越严重，越来越多的人在谈论 Botnet——网络安全界的新挑战 3.6 cents per bot week 6 cents per bot week September 2004 postings to SpecialH, S 二、僵尸网络的发现和处置 IRC僵尸网络的发现 一、蜜罐（Honeypot) 例子：“honeynet project”项目 二、IDS+IRC协议解析： 例子：863－917网络安全监测平台 三、BOT行为特征： 快速加入型bot 长期连接型 bot 发呆型bot 例子：DdoSVax项目 知己知彼： 控制服务器信息： 域名或IP、端口（port）、连接密码 (如果有)； 频道信息: 频道名（channel）、频道密码(如有)； 控制密码、编码规则和Host 控制者发送密码到频道中，用于标识身份，常以.login pass的形式出现。编码规则和是否启用host认证是bot程序实现的，不体现在网络通信中。 Bot支持的命令集 主要功能，包括认证、升级和自删除类的命令，比如！login、.update、.download、.uninstall等。 一、擒贼先擒王——模拟控制者，对僵尸网络进行完全控制 最终解决办法：直接找到控制服务器，需要授权或用户配合： 方法1：发送更新命令(吃毒丸) ； 方法2：发送自删除命令 (集体自杀)； 条件： 掌握控制者身份认证信息 二、釜底抽薪——切断用户主机和控制服务器的联系 ： 方法1：网络边界上阻断CC通信 条件：掌握控制服务器的准确信息 方法2：取消域名，无法解析;条件：得到授权 三、攘外必先安内——清除用户终端上的Bot程序，打补丁： 手工查杀 专杀工具或升级杀毒程序 问题：如何发现BOT? 三、CNCERT/CC的工作 我们发现了什么？ 每两天一次报告Top 5，6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端 这些僵尸网络不断扫描扩张、更新版本、下载间谍软件和木马、发动各种形式的拒绝服务攻击。 例如： hotgirls网络，客户端数量最多时达到29624个。频道主题都是： ipscan s.s.s.s dcom2 86400 256 8000 –s（利用dcom漏洞传播，客户端bot保持沉默） * wormride -s -t * download /df.exe c:\windows\defrag32.exe -e –s(下载df.exe保存为defrag32并悄悄执行) 僵尸网络情况统计(2005年6月3日-6月 23日) 发现一个客户端规模超过15万的僵尸网络(2005年8月19日－9月19日) 发现一昵称为gunit的用户曾经登陆该网络并向多个频道发送控制命令，命令为扫描某种漏洞。如下。红色部分和样本的活动吻合。8月29日 12点 PRIVMSG #asnftp :.login booties -s;cmd=:gunit!DIE@dark.acid.xPRIVMSG #nesebot :.login nesebot -s;cmd=:gunit!DIE@nesePRIVMSG #urxbot :.login prx -s;cmd=:gunit!DIE@; TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunit;TOPIC #.asnftp :.advscan asn1smb 100 3 0 -r -s;cmd=:gunit;TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunitTOPIC #forasn :.adv.start asn 120 5 0 -r;cmd=:gunit; TOPIC #phat# :.scan.startall;cmd=:gunit; TOPIC #urxbot :.advs