广东省保密协会

前沿技术

僵尸网络浅析（1）
2019-07-31 11:05:21

僵尸网络是什么僵尸网络是由攻击者通过传播恶意程序并感染漏洞主机，通过控制和命令（C&C）信道远程控制和命令的受感染主机所组成的网络。一般而言，僵尸网络是由攻击者（僵尸控制者）、C&C服务器和受感染的僵尸主机所组成的网络。如图1所示为僵尸网络的一般架构图，僵尸控制者也就是攻击者通过C&C Server控制和命令受感染的僵尸主机来完成其恶意意图。僵尸网络是影响和破坏当前网络环境和谐的重要威胁之一，其不仅可以作为众多网络攻击的支撑平台以支持实现网络攻击，其自身也是强有力的网络攻击工具能够对受害目标造成严重破坏。图1 僵尸网络的一般架构图僵尸网络的范畴界定僵尸网络是一种由传统恶意代码演化的命令驱动型攻击平台。从形态和业务范围的角度出发，僵尸程序与传统恶意代码具有极高的相似性。从现实安全防御角度而言，僵尸网络通常被反病毒安全公司归纳为蠕虫、木马、后门、间谍软件、勒索软件的范畴。如图2所示为僵尸网络与其他恶意代码之间的关系示意图。僵尸网络所包含的僵尸程序从属于恶意代码的范畴，具有恶意软件的部分特征，与攻击者的攻击意图紧密相关。僵尸网络的控制和命令信道是其特有的属性，这是僵尸网络与传统恶意代码的最大区别。图2 僵尸网络与其他恶意代码之间的关系表1 僵尸网络与传统恶意代码之间的关系如表1所示，病毒是通过感染计算机程序进行传播的恶意代码，通常被动传播，如通过USB传播感染新主机。病毒通常是一段代码而非独立程序，不可作为进程独立运行。而僵尸程序大多数不具备感染能力。蠕虫是一种可自我复制的恶意代码，具有主动传播能力，而僵尸程序可以不具备自传播能力，其传播可通过社会工程学或第三方恶意软件安装实现。间谍软件主要以窃取隐私数据为主，因此，其具有窃密功能，而僵尸网络窃密是可选的。木马是与僵尸程序较为接近的恶意代码，二者的关系比较模糊，其二者的区别在于木马控制者在使用木马时，一定要在线操作，木马主要以窃密为主，而僵尸网络控制者在使用僵尸网络的过程中，可以离线，僵尸网络的窃密功能可选。勒索软件在执行攻击的过程中通常也会和C&C服务器通信，以主机信息回传和密钥交换为主要目的。勒索软件以加密受害用户磁盘、文件、数据库或者锁定设备为主要功能，执行过程相对简单固化，不存在命令驱动执行任务，而僵尸网络会以命令驱动来执行攻击者下发任务。通过恶意代码在形态和功能上的不断发展和融合，各类恶意代码之间的界限变得越来越模糊不清。从广义上讲，凡是具有C&C机制行为的恶意代码都可以称之为僵尸网络，而僵尸网络所控制的僵尸主机里的僵尸程序又可以包含多类型的恶意代码形态。僵尸网络的工作机理攻击者通过C&C服务器控制僵尸主机从组建僵尸网络到发起攻击，大致分为四个阶段。如图3所示为僵尸网络的工作机理，首先攻击者出于恶意目的，会通过一定的方式感染大量具有漏洞主机，使其加入僵尸网络。在僵尸主机新成员加入僵尸网络后，向C&C服务器注册，并等候指令；其次攻击者向C&C服务器下发指令；再次C&C服务器将指令传输给僵尸主机，僵尸主机接到具体命令后，会执行攻击任务。最后僵尸主机向C&C服务器反馈执行结果。更为一般地，僵尸网络工作原理可以归纳为传播（Propagation）、寻址（Rally）、交互（Interaction）和攻击（Attack）四个过程，这四个过程周而复始、循环往复。这个过程也称为僵尸网络的生命周期。图3 僵尸网络的工作机理具体地，在僵尸网络传播过程，通常指僵尸网络的构建过程，新僵尸成员加入的感染过程，也称为初始注入。在该过程，脆弱性主机被恶意代码感染，并成为潜在僵尸主机，该过程可以认为是计算机常规的感染过程，主要包括主动传播机制和被动传播机制两种。在主动传播机制里，僵尸主机主动扫描网络空间中其他存在漏洞的主机进行利用，以获取管理权限，下载并安装僵尸程序，最终实现僵尸网络的C&C通信。在被动传播机制里，通常需要用户参与来完成，如路过式下载、共享介质传播和社会工程学传播等。在僵尸网络寻址过程，主要是僵尸主机寻找并定位C&C服务器。该过程也标志着僵尸主机新成员正式加入僵尸网络，成为僵尸大军中的一员。僵尸主机的寻址方式大致分为静态寻址和动态寻址两类。静态寻址是指僵尸程序尝试访问的C&C资源是静态不变的，这些资源通常硬编码到僵尸程序中，或者存放在感染程序的隐秘路径下。由于静态寻址实现了僵尸主机和攻击者之间的固化隐秘通信，其具有较好的隐蔽性，但是其缺点在于一旦安全人员获悉这些硬编码的资源，会立即关闭或者封堵僵尸主机访问的资源，攻击者将失去对所有僵尸主机的控制，因而，静态寻址方式通常被认为是脆弱的，为了提高僵尸网络的鲁棒性，攻击者使用动态寻址方式来实现僵尸网络的控制和命令。动态寻址通常使用一些特定的算法和机制来动态生成僵尸主机和C&C信道的会合点，当输入僵尸主机和C&C服务器共享信息时，在不同的时间或状态下，僵尸主机和C&C服务器能生成相同的会合信息，如僵尸网络使用动态域名生成算法（DGA）来实现秘密通信。动态寻址方式能够避开黑名单封堵，然而也会增加僵尸网络的维护成本，降低僵尸网络控制效率。在僵尸网络成功定位C&C服务器之后，将与攻击者建立连接，开始交互。该阶段也称为控制和命令阶段。该过程主要包含配置文件下载、命令接收和结果回传等步骤。图4 ZeuS僵尸网络的通信模式如图4所示为ZeuS僵尸网络的通信模式，首先僵尸主机从C&C服务器获取配置文件，然后僵尸主机获取僵尸网络的同步状态，最后僵尸主机将窃取的信息及更新状态报告给C&C服务器。攻击者构建僵尸网络的主要目的是发起攻击以获取经济利益。在完成僵尸网络的交互，僵尸网络开始其攻击行为。僵尸网络的攻击行为主要分为内部攻击和外部攻击。内部攻击主要是针对宿主主机也就是僵尸主机自身进行攻击活动，外部攻击主要是针对僵尸主机自身以外的网络目标进行攻击，僵尸网络的攻击行为是僵尸网络最为本质的特征，也是对网络环境造成极大威胁的源头。僵尸网络的危害性僵尸网络作为复杂的攻击平台，其危害性体现在多个方面。僵尸网络利用带宽、CPU、IP等资源对外界目标发起网络攻击，攻击范围可以从普通网络用户到国家层面的关键性基础设施。其危害性包含分布式拒绝服务攻击（DDoS攻击）、网络破坏、网络钓鱼、垃圾邮件分发、点击欺诈、间谍行为等。分布式拒绝服务攻击是僵尸网络最常见的攻击方式，例如2016年10月，美国提供域名解析服务Dyn公司受到Mirai僵尸网络发起的网络攻击，导致美国多个城市出现互联网瘫痪情况，包括Twitter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问。又如2018年1月，荷兰银行、荷兰合作银行以及ING银行三大银行同时遭遇了DDoS攻击，造成了三大银行互联网银行服务集体瘫痪。2月，面向开源及私有软件项目的知名托管平台GitHub遭遇了史上大规模Memcached DDoS攻击，流量峰值高达1.35 Tbps。DDoS攻击的主要原理是攻击者利用大规模僵尸网络对某机构网站发起临时性流量注入，导致该网站暂时性拥塞，其他用户无法正常访问，以致网站崩坍和宕机。常见的DDoS攻击形式为SYN Flood、DNS反射放大攻击，其代表性僵尸网络为Mirai等。DDoS攻击并不能给攻击者带来直接经济利益，但是攻击者可以被雇佣来打击竞争对手或敲诈勒索目标对象来获取经济报酬。网络破坏是通过传播计算机病毒等恶意程序来破坏目标计算机信息系统功能或计算机存储信息及应用程序。具体地，网络破坏可以恶意篡改和删除关键性隐私数据，可以修改计算机应用程序进而影响信息系统正常运作。网络破坏对目标对象所造成的危害极大，而且难以发现，不易防范。网络钓鱼通常是僵尸网络通过垃圾邮件或网络劫持等方法，诱骗用户在虚假网站填写账号和密码，造成用户隐私泄露和经济损失。点击欺诈主要是攻击者控制大量僵尸主机，通过脚本或浏览器劫持的方式，模拟正常用户对特定广告发起点击，从而产生大量虚假点击，从而获取大量经济效益，点击欺诈的僵尸网络代表有Methbot。发送垃圾邮件是僵尸网络较为常见的攻击方式，发送垃圾邮件对攻击者而言具有双重益处，其一，发送垃圾邮件可以为僵尸网络招募新的僵尸主机，扩充僵尸大军，为僵尸网络壮大攻击力量；其二，通过发送垃圾邮件可以为某些非易卖品做宣传，提高经济收入。发送垃圾邮件的僵尸网络的典型代表是Conficker。僵尸网络的间谍行为主要体现在国家层面的网络对抗，通过网络渗透到敌方网络信息系统中窃取机密性信息，甚至修改基础设施配置信息，从而造成巨大损失。当前一种破坏性极大的网络攻击是APT攻击，APT攻击通常利用僵尸网络的控制和命令机制来渗透到敌方单位的关键性网络系统，以窃取重要信息情报作为攻击目标，从而达到国家级对抗的优势。从控制和命令机理角度而言，APT攻击也从属于广义的僵尸网络。僵尸网络间谍行为的典型代表是Stuxnet和Duqu。总结本文主要对僵尸网络的定义、范畴界定、工作机理以及危害性进行阐述，通过对僵尸网络的浅析介绍，可以对僵尸网络进行初步了解，为有效积极应对僵尸网络引发的安全威胁做好准备。参考文献 [1] Feily M, Shahrestani A, Ramadass S. A survey of botnet and botnet detection[C]//2009 Third International Conference on Emerging Security Information, Systems and Technologies. IEEE, 2009: 268-273. [2] 李可,方滨兴,崔翔,刘奇旭.僵尸网络发展研究[J].计算机研究与发展,2016,53(10):2189-2206. [3] Silva S S C, Silva R M P, Pinto R C G, et al. Botnets: A survey[J]. Computer Networks, 2013, 57(2): 378-403. （来源：中国保密协会科学技术分会，责编：丁昶，作者：齐标大象无形）

2019-07-31 11:05:21

僵尸网络是什么

僵尸网络是由攻击者通过传播恶意程序并感染漏洞主机，通过控制和命令（C&C）信道远程控制和命令的受感染主机所组成的网络。一般而言，僵尸网络是由攻击者（僵尸控制者）、C&C服务器和受感染的僵尸主机所组成的网络。如图1所示为僵尸网络的一般架构图，僵尸控制者也就是攻击者通过C&C Server控制和命令受感染的僵尸主机来完成其恶意意图。僵尸网络是影响和破坏当前网络环境和谐的重要威胁之一，其不仅可以作为众多网络攻击的支撑平台以支持实现网络攻击，其自身也是强有力的网络攻击工具能够对受害目标造成严重破坏。

图1.jpg

图1 僵尸网络的一般架构图

僵尸网络的范畴界定

僵尸网络是一种由传统恶意代码演化的命令驱动型攻击平台。从形态和业务范围的角度出发，僵尸程序与传统恶意代码具有极高的相似性。从现实安全防御角度而言，僵尸网络通常被反病毒安全公司归纳为蠕虫、木马、后门、间谍软件、勒索软件的范畴。如图2所示为僵尸网络与其他恶意代码之间的关系示意图。僵尸网络所包含的僵尸程序从属于恶意代码的范畴，具有恶意软件的部分特征，与攻击者的攻击意图紧密相关。僵尸网络的控制和命令信道是其特有的属性，这是僵尸网络与传统恶意代码的最大区别。

图2 僵尸网络与其他恶意代码之间的关系

表1.jpg

表1 僵尸网络与传统恶意代码之间的关系

如表1所示，病毒是通过感染计算机程序进行传播的恶意代码，通常被动传播，如通过USB传播感染新主机。病毒通常是一段代码而非独立程序，不可作为进程独立运行。而僵尸程序大多数不具备感染能力。蠕虫是一种可自我复制的恶意代码，具有主动传播能力，而僵尸程序可以不具备自传播能力，其传播可通过社会工程学或第三方恶意软件安装实现。间谍软件主要以窃取隐私数据为主，因此，其具有窃密功能，而僵尸网络窃密是可选的。木马是与僵尸程序较为接近的恶意代码，二者的关系比较模糊，其二者的区别在于木马控制者在使用木马时，一定要在线操作，木马主要以窃密为主，而僵尸网络控制者在使用僵尸网络的过程中，可以离线，僵尸网络的窃密功能可选。勒索软件在执行攻击的过程中通常也会和C&C服务器通信，以主机信息回传和密钥交换为主要目的。勒索软件以加密受害用户磁盘、文件、数据库或者锁定设备为主要功能，执行过程相对简单固化，不存在命令驱动执行任务，而僵尸网络会以命令驱动来执行攻击者下发任务。

通过恶意代码在形态和功能上的不断发展和融合，各类恶意代码之间的界限变得越来越模糊不清。从广义上讲，凡是具有C&C机制行为的恶意代码都可以称之为僵尸网络，而僵尸网络所控制的僵尸主机里的僵尸程序又可以包含多类型的恶意代码形态。

僵尸网络的工作机理

攻击者通过C&C服务器控制僵尸主机从组建僵尸网络到发起攻击，大致分为四个阶段。如图3所示为僵尸网络的工作机理，首先攻击者出于恶意目的，会通过一定的方式感染大量具有漏洞主机，使其加入僵尸网络。在僵尸主机新成员加入僵尸网络后，向C&C服务器注册，并等候指令；其次攻击者向C&C服务器下发指令；再次C&C服务器将指令传输给僵尸主机，僵尸主机接到具体命令后，会执行攻击任务。最后僵尸主机向C&C服务器反馈执行结果。更为一般地，僵尸网络工作原理可以归纳为传播（Propagation）、寻址（Rally）、交互（Interaction）和攻击（Attack）四个过程，这四个过程周而复始、循环往复。这个过程也称为僵尸网络的生命周期。

图3 僵尸网络的工作机理

具体地，在僵尸网络传播过程，通常指僵尸网络的构建过程，新僵尸成员加入的感染过程，也称为初始注入。在该过程，脆弱性主机被恶意代码感染，并成为潜在僵尸主机，该过程可以认为是计算机常规的感染过程，主要包括主动传播机制和被动传播机制两种。在主动传播机制里，僵尸主机主动扫描网络空间中其他存在漏洞的主机进行利用，以获取管理权限，下载并安装僵尸程序，最终实现僵尸网络的C&C通信。在被动传播机制里，通常需要用户参与来完成，如路过式下载、共享介质传播和社会工程学传播等。

在僵尸网络寻址过程，主要是僵尸主机寻找并定位C&C服务器。该过程也标志着僵尸主机新成员正式加入僵尸网络，成为僵尸大军中的一员。僵尸主机的寻址方式大致分为静态寻址和动态寻址两类。静态寻址是指僵尸程序尝试访问的C&C资源是静态不变的，这些资源通常硬编码到僵尸程序中，或者存放在感染程序的隐秘路径下。由于静态寻址实现了僵尸主机和攻击者之间的固化隐秘通信，其具有较好的隐蔽性，但是其缺点在于一旦安全人员获悉这些硬编码的资源，会立即关闭或者封堵僵尸主机访问的资源，攻击者将失去对所有僵尸主机的控制，因而，静态寻址方式通常被认为是脆弱的，为了提高僵尸网络的鲁棒性，攻击者使用动态寻址方式来实现僵尸网络的控制和命令。动态寻址通常使用一些特定的算法和机制来动态生成僵尸主机和C&C信道的会合点，当输入僵尸主机和C&C服务器共享信息时，在不同的时间或状态下，僵尸主机和C&C服务器能生成相同的会合信息，如僵尸网络使用动态域名生成算法（DGA）来实现秘密通信。动态寻址方式能够避开黑名单封堵，然而也会增加僵尸网络的维护成本，降低僵尸网络控制效率。

在僵尸网络成功定位C&C服务器之后，将与攻击者建立连接，开始交互。该阶段也称为控制和命令阶段。该过程主要包含配置文件下载、命令接收和结果回传等步骤。

图4.jpg

图4 ZeuS僵尸网络的通信模式

如图4所示为ZeuS僵尸网络的通信模式，首先僵尸主机从C&C服务器获取配置文件，然后僵尸主机获取僵尸网络的同步状态，最后僵尸主机将窃取的信息及更新状态报告给C&C服务器。

攻击者构建僵尸网络的主要目的是发起攻击以获取经济利益。在完成僵尸网络的交互，僵尸网络开始其攻击行为。僵尸网络的攻击行为主要分为内部攻击和外部攻击。内部攻击主要是针对宿主主机也就是僵尸主机自身进行攻击活动，外部攻击主要是针对僵尸主机自身以外的网络目标进行攻击，僵尸网络的攻击行为是僵尸网络最为本质的特征，也是对网络环境造成极大威胁的源头。

僵尸网络的危害性

僵尸网络作为复杂的攻击平台，其危害性体现在多个方面。僵尸网络利用带宽、CPU、IP等资源对外界目标发起网络攻击，攻击范围可以从普通网络用户到国家层面的关键性基础设施。其危害性包含分布式拒绝服务攻击（DDoS攻击）、网络破坏、网络钓鱼、垃圾邮件分发、点击欺诈、间谍行为等。

分布式拒绝服务攻击是僵尸网络最常见的攻击方式，例如2016年10月，美国提供域名解析服务Dyn公司受到Mirai僵尸网络发起的网络攻击，导致美国多个城市出现互联网瘫痪情况，包括Twitter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问。又如2018年1月，荷兰银行、荷兰合作银行以及ING银行三大银行同时遭遇了DDoS攻击，造成了三大银行互联网银行服务集体瘫痪。2月，面向开源及私有软件项目的知名托管平台GitHub遭遇了史上大规模Memcached DDoS攻击，流量峰值高达1.35 Tbps。DDoS攻击的主要原理是攻击者利用大规模僵尸网络对某机构网站发起临时性流量注入，导致该网站暂时性拥塞，其他用户无法正常访问，以致网站崩坍和宕机。常见的DDoS攻击形式为SYN Flood、DNS反射放大攻击，其代表性僵尸网络为Mirai等。DDoS攻击并不能给攻击者带来直接经济利益，但是攻击者可以被雇佣来打击竞争对手或敲诈勒索目标对象来获取经济报酬。

网络破坏是通过传播计算机病毒等恶意程序来破坏目标计算机信息系统功能或计算机存储信息及应用程序。具体地，网络破坏可以恶意篡改和删除关键性隐私数据，可以修改计算机应用程序进而影响信息系统正常运作。网络破坏对目标对象所造成的危害极大，而且难以发现，不易防范。

网络钓鱼通常是僵尸网络通过垃圾邮件或网络劫持等方法，诱骗用户在虚假网站填写账号和密码，造成用户隐私泄露和经济损失。点击欺诈主要是攻击者控制大量僵尸主机，通过脚本或浏览器劫持的方式，模拟正常用户对特定广告发起点击，从而产生大量虚假点击，从而获取大量经济效益，点击欺诈的僵尸网络代表有Methbot。

发送垃圾邮件是僵尸网络较为常见的攻击方式，发送垃圾邮件对攻击者而言具有双重益处，其一，发送垃圾邮件可以为僵尸网络招募新的僵尸主机，扩充僵尸大军，为僵尸网络壮大攻击力量；其二，通过发送垃圾邮件可以为某些非易卖品做宣传，提高经济收入。发送垃圾邮件的僵尸网络的典型代表是Conficker。

僵尸网络的间谍行为主要体现在国家层面的网络对抗，通过网络渗透到敌方网络信息系统中窃取机密性信息，甚至修改基础设施配置信息，从而造成巨大损失。当前一种破坏性极大的网络攻击是APT攻击，APT攻击通常利用僵尸网络的控制和命令机制来渗透到敌方单位的关键性网络系统，以窃取重要信息情报作为攻击目标，从而达到国家级对抗的优势。从控制和命令机理角度而言，APT攻击也从属于广义的僵尸网络。僵尸网络间谍行为的典型代表是Stuxnet和Duqu。

总结

本文主要对僵尸网络的定义、范畴界定、工作机理以及危害性进行阐述，通过对僵尸网络的浅析介绍，可以对僵尸网络进行初步了解，为有效积极应对僵尸网络引发的安全威胁做好准备。

参考文献

[1] Feily M, Shahrestani A, Ramadass S. A survey of botnet and botnet detection[C]//2009 Third International Conference on Emerging Security Information, Systems and Technologies. IEEE, 2009: 268-273.

[2] 李可,方滨兴,崔翔,刘奇旭.僵尸网络发展研究[J].计算机研究与发展,2016,53(10):2189-2206.

[3] Silva S S C, Silva R M P, Pinto R C G, et al. Botnets: A survey[J]. Computer Networks, 2013, 57(2): 378-403.

（来源：中国保密协会科学技术分会，责编：丁昶，作者：齐标大象无形）