CNCERTCC关于僵尸网络应对措施.pptVIP

* * * * * * * 事件处理过程(六) 3、总体活动趋势 升级rasinf.exe,并最终形成ipxsrv.exe木马程序。ipxsrv.exe木马程序的主要传播方式是利用了社会工程学的方法,通 过“QQ尾巴病毒诱使用户访问某个恶意页面,当存在IE漏洞的用户访 问该恶意页面时会被自动植入ipxsrv.exe, 将msapp.exe升级为rasinf.exe, rasinf.exe中内置四个控制指令（进行IPC漏洞扫描和Kuang2木马扫描）用于控制“僵尸网络”自动传播木马程序。 通过编写 “kuang2”木马客户端程序(k2.exe)控制互联网上大量被植入“kuang2”木马的主机，并将msapp.exe投放到这些主机中. 1 2002年，掌握一万多台受控主机 掌握超过三万台受控主机 2 3 到2004年10月份 ，掌握超过五万台受控主机 事后回顾：Botnet的形成 应对僵尸网络需要共同努力 1 运营商： 配合僵尸网络的发现和处置，尤其是CC Server的处置。 2 安全厂商： 交换和共享Bot样本和特征；代码分析的技术。 3 应急组织： 交换僵尸网络信息，尤其是CC Server信息；实际案例；处置经验和合作。 4 科研单位： 加强对僵尸网络的发现和处置的研究力度，提高技术能力。 5 单位用户： 提高安全意识；及时报告涉及botnet事件；积极配合处置。 国内：打造精兵，组成联军 国际：交流信息，促进合作 我们的策略 CNCERT/CC： WEBSITE: WWW.ORG.CN TEL: 8299 0999 (国内) +86-10-8299 1000（国际） EMAIL:cncert@ 谢谢！ cmq@ * * * 已经成为当今网络安全领域面临的三大威胁并在世界各国引起了高度重视。尽管各个国家纷纷完善相关法律和网络安全产品，这些问题并没有得到有效的改善，反而有愈演愈烈之势，究其原因，一方面在于这些威胁天生具有反追踪、反定位的优势，这一点是大家公认的；另一方面在于攻击手段的简易和自动化程度越来越高，而这一点的支撑力量就是BotNet。2004年，利用BotNet发送Spam和进行DDos攻击的事件越来越多，Bot的种类也迅速增加，Botnet的危害在国际上引起了广泛重视 。 原因： 攻击手段的简易和自动化程度越来越高 BotNet 2004年底首次掌握一个大型僵尸网络（2003年3月口令蠕虫的教训和启发） 从中发现很多重要或敏感部门的地址 当前威胁最严重的事件之一 防火墙完全无能为力 * 现实威胁（已经看到的实例）： 利用蠕虫传播造成网络拥塞甚至瘫痪 DDoS用于敲诈，严重干扰经济 垃圾邮件治理的障碍（涉及多方面安全问题） 失泄密 Identity theft 潜在威胁（可预见到的威胁）： 被政治动机利用的话，可以有效瘫痪重点系统 被敌对集团利用可以用来攻击网络的核心节点导致全网瘫痪 严重的窃密威胁 * * 利用蜜罐捕获传播中的bot，记录该bot的网络行为（通过Honeywall）。通过人工分析网络日志并结合样本分析结果，可以掌握该bot详细情况。 在2004年11月到2005年3月期间，只使用两台蜜罐（1台通过HoneyWall记录日志，1台使用mwcollect[8]捕获新的样本）,就发现了180个僵尸网络，每个的规模从几百个到几万个不等，共涉及到30万个被控主机。同时还收集到5500个样本，共800种（有些样本是相同的）。在2004年11月到2005年1月，共观察到406次Ddos攻击，攻击目标共179个[4]。 1）快速加入型bot(fast joining bots) 这类bots通常利用蠕虫传播，一旦在受害主机上运行，就按预定义的参数连接IRC服务器、加入指定的频道接受指令。短期内大量IRC客户端加入同一服务器的同一频道是可疑的。 2) 长期连接型bot(Long standing connection) 正常用户很少长期停留在一个频道中，而bots只有在接受”退出“、“休眠”、“自杀”等命令后才会退出。 发呆型bot(not talkative) Bots与正常用户另一个不同之处是bot很少“说话”，经常“发呆“，靠ping/pong命令来维持连接。 利用行为监测是由DdoSVax项目[5]提出的，该项目可以针对以上类型的Bot预警。 * ）发现的僵尸网络类型和范围不同 IDS只能发现监测范围之内的bot活动，而位于互联网任何一个位置的蜜罐有可能捕获任意有感染该蜜罐能力的bot，进而发现该bot所在的僵尸网络。但是蜜罐不能发现停止传播而单纯执行命令的bot，也不能发现对该蜜罐系统无攻击能力的bot,而ID