亡灵巫师的魔法大军：大规模僵尸网络

亡灵巫师的魔法大军：大规模僵尸网络 Necromancer’s Magic Troop: Large-scale Zombie Network 作者：白远方，VXK October 17, 2008 僵尸网络(Botnet)，是指黑客成批安装了后门程序，能够进行批量控制的大量普通计算 机组成的庞大网络。它兼具了传统蠕虫病毒程序的庞大安装数量和远程控制木马的精确控制 能力，不会像蠕虫病毒那样作者也无法控制自己编写的蠕虫的行为，也不会像传统木马后门 那样只能控制有限数目的机器。它平时可以隐藏在网络海洋中，不产生什么波澜，但是在需 要用到的时候，又可以完全调动成千上万甚至更多傀儡计算机的力量，来完成一些非同寻常 的任务，例如在网络中搜集信息，发动大规模DDOS攻击，使用插件引导大量用户浏览或 点击网络广告，发送大量广告邮件等。 在上个世纪就已经出现了最早的僵尸网络。早期的僵尸网络通常是由IRC频道进行控制的，直到现在这种形式的僵尸网络可能都是西方的主流。但是IRC僵尸网络存在着一个显著的缺陷，当傀儡计算机的数量较多的时候，所有傀儡机都跟IRC服务器保持连接，服务器的承受能力会受到很大的挑战。现在，很多的中国僵尸网络，使用专门的C/S控制器，例如风云，霸王之类，另外一些则是用网页脚本来向僵尸主机传递命令。 如图，这是国内一个典型僵尸网络的地域分布，很符合国内网民的地理分布。 早期的僵尸网络，通常都是采用跟蠕虫病毒类似的机制进行传播的，例如RPC漏洞大范围扫描，MSSQL远程漏洞扫描，MX匿名群发带毒邮件等等。但是在2006年之后，随着大众安全意识的提高，能够进行大范围主动扫描的严重远程漏洞已经基本上绝迹了。 此后流行的是一种被称为“黑站挂马”的传播模式，一般是采用脚本漏洞，SQL注射 等手段取得一些访问量比较大的网站的权限，在其页面上挂网页木马进行批量传播。这种手 段曾经风行一时，但是现在一般网站的管理员水平普遍有了提高，很多时候花了很多天研究 拿下来一个站的权限，挂马没几个小时就被发现了，接着就是马和漏洞全部都被修补掉了。 总体来说，靠黑来的网站权限挂马，是不具有长期稳定的可操作性的。 真正比较能够突破技术瓶颈的僵尸网络组建方法，还是要靠社会工程学钓鱼。钓鱼 (Phishing)的方法基本上不是很依赖流行的高危漏洞，在没有高危漏洞或者很难获得高危漏 洞技术细节的今天，仍然能够组建起庞大的僵尸网络。钓鱼可以有很多很多种：网页钓鱼， 黑客建立一个标和看起来非常吸引人的网站，并且堆砌大量热门关键字进行SEO， 使得搜索引擎能够更加容易搜索到自己，引诱用户浏览，在网页中夹杂恶意脚本；P2P钓鱼，黑客可以在P2P共享网络中上传大量携带插件的影视，音乐，软件等资源，引诱用户下载； 邮件钓鱼，群发大量带毒垃圾邮件，以一些能够诱使用户打开附件或者链接的标题和内容来 欺骗用户上当；等等。 举一个非常典型的例子，前些日子流行的熊猫烧香病毒，背后实际上是一个巨大的以盗 取网络游戏账号牟利的商业僵尸网络。熊猫烧香病毒本身，仅有非常有限的自我传播能力， 靠其自我传播能力远远不可能达到其感染规模。但是这个僵尸网络是如何发展起来的呢？它 的背后是大量的垃圾网站站长和黑客组成的共同体。垃圾网站站长制造出大量的垃圾网站， 充斥着大量的色情等非常吸引人眼球的搜索关键字和内容，进行SEO诱导搜索引擎在更多的关键字上收录自己，引诱用户前往访问。有些垃圾站站长，一个人可以生成和运营数百个 垃圾站点。 黑客则与垃圾站长合作在所有的垃圾站上放置网页木马，自动下载熊猫烧香病 毒。用户访问后往往发现，其实只是个“标题党”，除了病毒没有什么实质性内容。数以千 计甚至上万的垃圾网站带来了大量的访问量，站长自愿在上面放置木马，这样产生的传播效 果，成千上万倍于一两个黑客高手，黑掉几个大网站挂马，往往只能挂几个小时，能够产生 的效果。 如图，网上常见的关键词SEO垃圾站，大多都有网页脚本病毒。 僵尸网络控制程序与传统后门和Rootkit有所不同，主要面向的是大量不熟悉计算机安全的普通用户，因此在技术上对自身隐藏性，穿透性的要求较低，只要求能够对抗常见防火 墙和杀毒软件即可。但是麻烦在于，随着网络的增大，不可避免的，各种杀毒软件和插件清 理程序就会盯上并且查杀僵尸控制程序，有时几天之内，十几款杀毒软件都会查杀。僵尸网 络控制者一般会采取各种手段减少自身程序被查杀的可能。最基本的措施就是对控制程序作 免杀处理，使得主流杀毒软件无法识别控制程序的特征。有些僵尸网络控制程序采用更加复 杂的措施，例如AV终结者(JAVQHC)携带一个描述主流杀毒软件特征的特征库，将杀毒软 件先行杀死，从而保护自己；机器狗会采用HOSTS文件屏蔽掉各大杀毒软件的样本上报网址和论坛求助网址，并且破坏杀毒软件的上传样本模块，保护自身的样本不被杀毒软件厂商 捕获。 现在流行的免杀处理技术手段，主要有加壳加花，修改特征这两种办法。加壳加花是比 较简单的处理方法，但是不一定能够适用于多数杀毒软件，很多杀毒软件如卡巴斯基，脱壳 能力很强。并且如果加壳后的程序再次被查杀，就只能换用一个其他的壳，反复数次之后， 就会面临无壳可加的情况。修改特征比较通用，首先是通过MyCCL等特征定位工具定位到 被杀毒软件查杀的特征。接下来，如果自己有源代码，则是将此处加密变形，加花重新编译， 打乱程序结构，通常即可获得免杀效果。如果自己没有源代码，可以考虑手工替换特征位置 附近的等效汇编指令，字符串大小写变换，增加JMP代码将特征代码位置移动等。但是总体说来，没有源代码情况下的免杀比较困难，需要有专门经验的人员负责。有不少的流行僵 尸网络控制程序，例如机器狗，在中国各地竟然有数十个互相独立的免杀维护小组。 有些控制程序不仅仅是被动的免杀更新，它们采用更加复杂的技术手段。AV终结者 (JAVQHC)拥有一个描述主流杀毒软件和安全工具特征的特征库。其中包含瑞星，金山，江 民，卡巴斯基，360安全卫士，诺顿，Windows清理助手，IceSword等几乎国内所有流行的 反病毒，防火墙，反插件等工具。一旦它发现已经运行的进程或将要运行的进程中存在此类 特征，就会直接终止进程并删除文件。其特征库可以包含文件特征和内存特征两部分，不得 不说是相当先进的。此外，它还会拦截所有的安全软件论坛和举报网址，使得中招的用户几 乎无法上报病毒样本求助。 如图，主流安全软件的网站和论坛几乎全被屏蔽 基于控制的庞大数量的主机，僵尸网络平时隐藏在网络海洋中，需要用到的时候，可以 群集控制，调动所有傀儡计算机的力量，在网络中搜集敏感信息，发动大规模DDOS攻击，使用插件引导大量用户浏览或点击网络广告，发送大量广告邮件等。 成千上万甚至十万以上的受控主机中，有各种各样的不同的计算机主人，其背后蕴含着 大量的潜在信息来源。控制者不可能挨个查看受控主机上的文件，但是可以设计一种自动搜 集信息的搜索匹配机制，来获得自己想要的信息。比如，在所有受控主机的“最近打开的文 件”文件夹中，搜索自己感兴趣的关键词组合，如果找到，就将文件自动发送到控制者指定 的邮箱。 设想一下，未来的“艳照门”可能以什么形式出现？当事人可能在无聊的时候，好奇心 驱使下不小心点击了某个标题看起来“很黄很暴力”的网页链接，然后失望的发现，又是一 个“标题党”。但是这时候，自己的计算机已经变成了一台受人控制的僵尸计算机。僵尸控 制程序自动搜索了当事人的“我最近的文档”，发现了某些带有“自拍”字样的.jpg文件。于是这些照片被发送到了黑客的邮箱中，再过了一段时间，当事人发现，自己的自拍照片大 量出现在网络上。当然，这时，其他好奇想要查看这些自拍照片的网民，很可能会成为新的 僵尸计算机。 除了娱乐目的之外，僵尸网络很可能能够在浩瀚的信息海洋中，搜集到商人感兴趣的商 业信息，以及国家政府感兴趣的公共安全信息。这一切都取决于僵尸控制程序使用的感兴趣 的关键词匹配方法。例如，如果某人的计算机中，最近打开的文档大量含有“XX功”等一类敏感字样，此人和他所打开的此类文件，都很有可能是隐藏着的威胁来源。 只要控制者发挥其想象力，以一些商业行业术语作为关键词，很可能会搜集到有关行业 的很多商业秘密和内部信息。例如，“XXXX客户资料”“XXXX联系人列”“XXXX上家代理”等等。更有甚者，很多高安全级别的科研机构，其网络本身是很难攻破的，但是从业 的雇员自己使用的上网的笔记本电脑却不能保证不中毒。只要这些笔记本电脑成为了僵尸计 算机，僵尸控制者又懂得去搜集这些关键字的话，当笔记本电脑连接上内部网络的时候，所 有的机密数据都会有泄漏的可能。 僵尸网络也可以搜索受控制机上的邮件列表，从而可能获取大量的邮件地址，利用这些 邮件地址列表，可能会发送大量的垃圾广告邮件。 DDOS 僵尸网络的主机数量相当庞大，并且高度可控，因此是发动大规模DDOS攻击的首选工具。事实上，现在已经不同于2000年左右的时候，当时只需要十几台普通上网计算机， 发送伪造地址来源的SYN洪水，SYN的耗尽半连接的效果就可以打垮一个中等大小的网站。 现在几乎所有IDC机房都有各种的软件和硬件防火墙甚至硬件防火墙集群，中等以上的网 站，硬件防火墙后面也根本不是一台服务器，而是多层交换机联结起来的服务器集群。现在， 没有一个庞大僵尸网络的支持，想要打垮拥有骨干网络线路，前面拥有硬件防火墙集群防护 的网站服务器集群，是基本不可能的。 由于多年以来伪造地址来源SYN半连接攻击的大量泛滥，各种硬件防火墙都采取了针 对性措施严格防范，现在即使在大规模僵尸网络的支持下，SYN攻击手段基本上起不到原本期望的耗尽服务器半连接资源的增幅效果，而仅仅是有带宽阻塞效果，并且这个带宽阻塞 效果还不如其他专门的带宽耗尽攻击手段，因此在现在的网络环境中，从前流行的SYN洪水已经基本过时。 目前主要的DDOS攻击手段仍然是可以分为两类：带宽耗尽攻击和资源耗尽攻击。 带宽耗尽攻击，就是发送大量的纯粹垃圾数据包，来堵塞目标网站的带宽。由于现在中 等以上大小的网站都有机房的硬件防火墙保护，而垃圾数据包是根本不可能穿越硬件防火墙 的，全部被阻截在硬件防火墙处，无法到达目标网站。所以，带宽耗尽攻击的发动者，通常 需要耗尽整个机房骨干线路的全部带宽，而不仅仅是目标网站所属的部分带宽，才能达到迫 使机房将目标网站下线的攻击效果。通常来说，这意味着需要几十倍到上百倍的流量。因此， 带宽耗尽类攻击，需要很大量的傀儡主机，另外由于发送大量数据，傀儡主机的网速会变得 非常缓慢，因此还会损失掉很多傀儡主机(重装，杀毒等等)。带宽耗尽攻击属于杀敌一千， 自损八百的手段，但是在其他手段不能奏效的情况下，它仍然是一个杀手锏。 典型的带宽耗尽攻击，是UDP洪水攻击。这种非常古老的技术手段到现在仍然不过时。 由于不需要像SYN那样计算校验和填充数据，在一个死循环中无限发送UDP数据的效率非常高，配合大量傀儡机可以迅速制造出巨大的流量。不过，傀儡机因此将会变得极其缓慢， 几乎断网。 资源耗尽攻击则和带宽耗尽攻击相反，目的不是堵塞目标网站的带宽，而是耗尽其CPU时间，TCP连接数目等资源来达到使之拒绝服务。因此资源耗尽攻击的攻击数据包必然要 尽可能的相似于正常用户访问的数据，以便穿越硬件防火墙抵达目标主机，才能达到攻击效 果。如果被硬件防火墙拦截了，资源耗尽攻击将不会对目标网站有任何影响。资源耗尽攻击 绝大部分都是基于TCP连接的。 硬件防火墙通常对于资源耗尽攻击有各种反制策略，最常见的就是：限制每个用户同时 向服务器发起的并发连接数，限制每个用户在短时间内对服务器进行频繁连接(断开再连接 )，限制每个连接的流量大小。如果超过了硬件防火墙的限制，就将IP加入黑名单，阻截在硬件防火墙外。因此资源耗尽攻击都存在一个瓶颈或者说平衡，攻击太猛烈可能被硬防 封杀导致完全无效，攻击频率太弱又会导致威力不足。 不同的资源耗尽攻击类型可以有： Script Flood，脚本洪水，类似于之前的使用代理服务器攻击的CC，一般称为变异CC，不是通过代理发起，而是通过大量的傀儡机器多线程访问目标的ASP,PHP等动态脚本页面，使得目标机器的数据库服务陷于崩溃，CPU 100%，从而拒绝服务。缺点是对于没有动态页 面的目标效果较差，对性能配置很好的服务器集群效果较差，而且如果连接太频繁，会被硬 防封杀。另外，部分防火墙有专门的CC防御，可以将网页转向地址加密，如果僵尸主机无 法解密地址，会被防火墙拒绝连接。 Port Connection Flood，TCP连接洪水，是通过大量傀儡机器多线程连接目标机器的TCP服务端口再断开，再连接再断开，不断重复。这种攻击对于没有动态脚本的目标也非常致命， 它会导致提供服务的TCP端口彻底死掉。但是这种攻击方式，连接断开比变异CC还要频繁，超过一定程度，硬防也是一定会封杀而且很容易封杀的。 TCP Crazy Dog，我们称为TCP疯狗，是我们试验的一种新型攻击手段。与TCP连接洪水不同，这种方法发起了大量的攻击连接后，并不是频繁的断开再重新连接，而是尽可能 的保持连接状态尽可能长的时间。这样会显著的降低连接的频繁程度，使得自己看起来更加 像是合法的访问者。但是配合僵尸网络，能让目标服务器的服务端口上总是存在着数万个 established状态的连接，从而使服务完全崩溃。这种方式的缺陷在于，攻击强度比TCP连接洪水低，达到相同的威力需要更多的傀儡机器，但是优点在于，更加难以被硬防识别和成功 防御。 现在的僵尸网络和网络广告插件越来越呈现出共生的关系。僵尸网络可以广播安装广告 插件，可以强制的或者是暗地里引导用户浏览指定的网页，甚至是点击指定的广告。 最早期的广告插件通常都是采用捆绑锁定IE首页，不断弹出广告窗体等方法强制用户 浏览广告。这种方法非常容易使得用户失去耐心，重装机器。现在的广告插件，可以做到自 动打开一个网页，自动浏览自动点击，而用户却全然不知情。也可以做到在用户浏览其他网 站时，自动将其它网站上的横幅广告替换成僵尸控制者指定的广告，用户会以为这些广告是 他浏览的网站上本来就有的。大量的僵尸机器也可以不断地提交构造好的搜索请求到搜索引 擎，以达到将某些控制者指定的网站的搜索结果排名提高的目的。 如图，是一个首页只有一行字”Test”的空壳网站，利用僵尸网络刷出来的一天的流量。 流量的时间分布相当近似正常网站，且流量巨大。 如图，这是一个广告劫持插件的运行流程图，可以将sina 163等大网站上面的广告替换成制定的横幅广告。 baiyuanfan@163.com 白远方 86879759@qq.com VXK