《了解你的敌人僵尸网络》-公开课件（精选）.ppt

防御机制 僵尸网络开发者设计了一些防御机制，以便让BOT程序可以正常工作，并且保护僵尸网络， 防御机制有： 终止进程，通常终止防毒软件的相关进程，可以避免BOT被防毒软件检测 隐藏自身，避免BOT被用户发现 攻击安全研究人员的系统，安全研究人员在研究僵尸网络时可能频繁连接到CC服务器上，而僵尸网络控制者会密切注视僵尸网络的活动，一旦发现异常频繁的CC服务器连接，控制者就会对安全研究人员的系统发动DDOS攻击 通信协议 通信协议是BOT与CC服务器通信的方式 HTTP HTTP协议是最为常见的协议 很难防范使用HTTP协议的僵尸网络，因为很难阻断HTTP协议的 IM BOT可以使用IM协议进入IM网络，然后在IM网络中联系CC服务器 CC服务器可以向BOT发送私人信息（控制命令），或者BOT加入聊天室， CC服务器向聊天室内的所有BOT群发消息（控制命令） 通信协议-续 IRC 僵尸网络最早使用的协议 BOT会连接到IRC的信道，等待CC服务器发出的命令 P2P BOT之间能够相互通信，传递控制命令 僵尸网络控制者可以不必架设CC服务器，在任意地方就能对僵尸网络下达命令 回顾 谢谢！ Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Lion Gu 2010/05 了解你的敌人：僵尸网络 主题 什么是僵尸网络 僵尸网络的危害 僵尸网络的工作流程 僵尸网络的组成 简介 什么是僵尸网络 僵尸网络（Botnet） 僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式，是由被攻陷主机所组成的可被数字罪犯远程控制的网络 僵尸程序（Bot） 是一种软件，该软件允许远程用户控制计算机，而这一切却不会让本地用户察觉 僵尸机器 又称肉鸡，指运行了僵尸程序的计算机 僵尸网络的危害 僵尸网络是网络安全的最大威胁 僵尸网络将蠕虫、木马、后门等威胁形态溶于一体 僵尸网络利用了各种威胁形态的技术特长 僵尸程序有很强的传播能力 例如，DOWNAD病毒在2009年感染了全球不同地区的1000多万台计算机 僵尸网络可以控制数量庞大的计算机来执行恶意操作 被DOWNAD感染的1000多万台计算机都会听从僵尸网络控制者的指挥，执行恶意操作 被控制计算机的信息安全荡然无存 僵尸网络控制者可以随意获取被控制计算机内的任意文档 僵尸网络控制者还可以监控用户的一举一动，获取用户的各种账号密码 DOWNAD 的感染分布图 图片来源：Conficker Working Group 角色 僵尸程序开发者 负责设计并开发出一个新僵尸程序的数字罪犯 并不需要很高的编程技巧，因为很容易就可以从互联网上找到一些源代码 僵尸网络控制者 又称botmaster，控制僵尸网络的数字罪犯 僵尸网络用户 使用僵尸网络达到特殊目的的数字罪犯 受害者 被种植僵尸程序的普通用户 被僵尸网络攻击的用户 僵尸网络猎人 专门追踪、研究并阻止僵尸网络的安全专家 动机 数字罪犯开发并维护僵尸网络的动机就是为了获得金钱 僵尸网络可以有偿为“用户”提供以下服务： 发动DDOS攻击 发送垃圾邮件 窃取僵尸机器的信息 传播新的恶意软件 等等 僵尸网络的技术细节 工作流程 数字罪犯在开发出一个新的BOT后，通过各种途径传播BOT。传播的方式有： 漏洞攻击 邮件携带 即时消息 网站挂马 网络共享 BOT在进入用户计算机后会执行预定操作，例如： 下载文件 关闭特定程序 执行IRC客户端程序 BOT向CC服务器发送信息，使用户计算机加入僵尸网络。然后等待僵尸网络主机发出的命令 BOT接收到CC服务的命令，并执行命令 僵尸网络的构成 传播机制 僵尸网络将蠕虫、木马和后门的传播机制融合在一起 漏洞攻击 不需要用户的参与，完全在用户没有察觉的的情况下将BOT在用户系统上激活 邮件携带 邮件附件通常是BOT，利用社会工程学诱使用户激活BOT 即时消息 通过即时通信软件散播BOT下载链接，利用社会工程学诱使用户下载并激活BOT 网站挂马 在网站上嵌入恶意脚本或下载