手机僵尸网络命令与控制机制研究.docVIP

手机僵尸网络命令与控制机制研究 　　摘要： 手机僵尸网络已成为通信网络安全的主要威胁之一。该文对手机僵尸网络的体系结构作了一定的阐述，重点分析了现有的几种命令与控制机制，并对性能作了对比。最后，对手机僵尸网络的研究作出了展望。 　　关键词： 手机僵尸网络；体系结构；命令与控制机制 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）25-5605-03 　　僵尸网络中攻击者利用网络传播僵尸病毒，通过命令与控制机制实现一对多的网络控制。随着通信平台技术的发展、智能手机的出现，开放、功能完善的手机系统，致使攻击者将越来越多的视线由计算机网络转向移动平台。谷歌的Android系统、苹果的IOS系统，在为开发人员提供便捷开发平台的同时，也给开发者和客户带来严重的安全隐患。2004年，Symbian上发现首例利用蓝牙技术传播的Carbir蠕虫。2009年，相继出现SYMBOSYXES.B和Ikee.B，手机僵尸网络正式进驻通信平台。2011年，国内手机僵尸网络全面爆发，攻击者通过僵尸手机发送含广告内容的短信来获利。2012年赛门铁克公司发布通告，发现感染多达数十万台手机的Android.Bmaster，不久后发现了其变异的MDK。攻击者利用手机僵尸网络实现恶意扣费、窃取用户机密信息、进行手机欺诈和发送垃圾信息等恶意行为，给手机用户造成巨大的损失。由此可见，手机僵尸网络的出现不仅给开发人员带来了技术挑战，也给用户的通信安全造成威胁。 　　现有对手机僵尸网络的研究主要集中在对整个手机僵尸网络的构建上[1-3]，对手机僵尸网络的防御研究较少[4]。为了能有效的防御和对抗可能出现的手机僵尸网络，必须对手机僵尸网络的工作原理，特别是手机僵尸网路的命令与控制机制有深入的理解。 　　1 手机僵尸网络的体系结构 　　僵尸网络要能在移动平台上正常运转必须具备两个条件：1）手机僵尸病毒能自主传播；2）攻击者能通过命令与控制信道控制整个手机僵尸网络。智能手机系统的无间隙连接因特网为僵尸网络的运转提供了有利的条件。通过通信网络与因特网的有效结合，攻击者能有效的掌控手机僵尸网络。所以在手机僵尸网络的组成中，既包含了常见的通信服务器和SMS/MMS???信基础，也应包含计算机的网络服务器等基础设施。手机僵尸网络的整个网络体系结构如图1所示。 　　2 手机僵尸网络的命令与控制机制 　　2.1 手机僵尸病毒的传播 　　手机僵尸病毒的主动传播是攻击者获得大量妥协手机的前提。攻击者利用多种技术实现僵尸病毒的传播。最早的手机病毒Carbir就是利用蓝牙技术进行传播。这种传播方式的优点是便于实现数据的传输，但该方式的缺陷十分明显[5]。蓝牙技术的有限距离为10m，超出范围将无法实现。同时，通过蓝牙技术接受文件必须经客户确认，这为攻击者利用蓝牙技术实现传播增加了难度。 　　利用短信和无线网络技术是现在最常用的方式。攻击者发送包含病毒链接的垃圾信息，客户点击链接、下载病毒文件并执行，从而保证僵尸病毒的有效传播。同时，僵尸病毒的传播机制受到攻击者的控制，传播的同时有规律的组建相应的网络体系结构。文献[1]就提出了一种有效的传播模型。攻击者利用手机系统漏洞来植入手机僵尸病毒。植入后的病毒再进行初步传播后，要与相应的区域网络服务器通信，并将自身信息发送至攻击者节点。攻击者根据得到的信息，总体监控网络，并命令妥协手机是否捕获新的节点和传播僵尸病毒。 　　2.2 命令与控制信道的构建 　　1）基于SMS/MMS的命令与控制方式 　　SMS，Short Messaging Service短消息服务，它可以通过手机等移动设备发送文本型消息。MMS，Multimedia Message Service多媒体短信服务，俗称“彩信”。MMS最大的特色就是支持多媒体功能，它完全整合视频片段、图片、声音和文字，传送方式除了在手机间传送外，还可以是手机与电脑间的传送。MMS基于SMTP协议进行收发，类似于普通的电子邮件。 　　基于短消息服务SMS/MMS的命令控制方式[2]，通过手机的短信功能实现控制者对僵尸手机的控制。攻击者通过向妥协手机发送固定格式的短信发布命令。妥协手机对接受到的信息进行分析，当得到特定格式和内容的短信时，手机中的僵尸程序分解命令并判断是否转发和执行相应的命令。同时转发命令时读取存储卡中的其它节点信息，将命令以短信模式转发，从而实现命令的发布和传播。另一方面，妥协主机需要向攻击者反馈信息时，采用MMS模式发送给攻击者手机或PC主机。采用该种模式对于攻击者来说，便于构建和维护，因为短信服务是现在所有手机都具备的基本功能。特别是Android系统中有专门针对SMS服务的API函数，攻击者能高效实现命名的发布和信息的反馈，有效