僵屍網絡的4個發展階段 如何防禦僵屍網絡（壹）

因為，如今每壹個僵屍網絡都似乎在用最高級的技術並且使用高質量的軟件流程，挑釁著當前入侵檢測系統(IPS)的防禦策略。因此，我們在這篇文章中先重點介紹壹下僵屍網絡和隱蔽軟件的技術狀況及其產業發展情況。壹個僵屍網絡是壹個被惡意軟件控制的分布式計算機或者系統的集合。因此，這些計算機也經常被稱作僵屍電腦。僵屍電腦由壹個僵屍牧人(bot-herder)通過壹臺或者多臺指揮與控制服務器控制或者指揮。最常見的情況是僵屍牧人使用指揮與控制服務器控制僵屍電腦，通過IRC(互聯網中繼聊天)或者P2P等網絡通訊實施控制。僵屍電腦軟件壹般是通過惡意軟件、蠕蟲、木馬程序或者其它後門渠道安裝的。各個機構報告的僵屍電腦規模與增長的統計數據有很大差別。據安全公司賽門鐵克的“Threat Horizon Report”(威脅視野報告)稱，每天能夠檢測到5.5萬個新的僵屍網絡節點。而《今日美國》報紙2008年的壹篇報告稱，平均每天連接到互聯網的8億臺電腦中有40%的電腦是用來發送垃圾郵件、病毒和竊取敏感個人數據的僵屍電腦。《今日美國》還報道稱，2008年的僵屍網絡威脅比2007年增加了10倍。許多消息來源預測稱，最著名的僵屍網絡Storm、Kraken和Conficker已經感染了大量的計算機。這些數字包括Storm(風暴)感染了8.5萬臺計算機，Kraken感染了49.5萬臺計算機，Conficker感染了900萬臺計算機。地下經濟與僵屍網絡的發展同任何由金錢驅動的市場壹樣，僵屍網絡開發者就像經營壹個合法的生意那樣工作：他們利用合作、貿易和開發流程以及質量等好處。最近，僵屍網絡已經開始使用生命周期管理工具、同行審查、面向對象和模塊化等通用的軟件質量做法。僵屍網絡開發者正在銷售其軟件和感染載體，提供說明書和技術支持，並且收集用戶的反饋意見和要求。在僵屍網絡團體中，壹致的經濟目標是推動技術創新、合作和風險教育。在線易貨貿易和市場網站已經開始為這種地下經濟團體服務，向僵屍牧人提供更好的易貨貿易和交易方式、在線技術支持以及租借和租賃等服務。這種合作已經催生了壹個非常成熟的經濟。這裏可以銷售和購買僵屍網絡節點或者僵屍網絡群。僵屍牧人在對壹個實體展開攻擊的時候會在這裏尋求合作。僵屍網絡可以被租借用於發送垃圾郵件。竊取的身份證和賬戶可以在這個地下市場的參與者之間交換和出售。僵屍網絡的生命周期僵屍網絡的生命周期壹般包括四個階段：傳播、感染、指揮與控制和攻擊，見圖1。圖1 僵屍網絡的生命周期(來源：英特爾公司，2009年)傳播階段。在許多僵屍網絡的傳播階段，僵屍電腦程序到處傳播和感染系統。僵屍電腦能夠通過各種手段傳播，如垃圾郵件、網絡蠕蟲、以及在用戶不知情的情況下通過網絡下載惡意軟件。由於傳播階段的目標主要是感染系統，僵屍牧人或者采取引誘用戶安裝惡意軟件負載，或者通過應用程序或瀏覽器利用用戶的系統中的安全漏洞傳播惡意軟件負載。感染階段。壹旦安裝到系統，這個惡意軟件負載就使用各種技術感染機器和隱藏自己。僵屍電腦感染能力的進步包括隱藏感染的技術和通過攻擊殺毒工具和安全服務延長感染壽命的技術等。殺毒工具和安全服務壹般能夠發現和清除這種感染。僵屍網絡使用當前病毒使用的許多標準的惡意軟件技術。多形性和“rootkitting”是兩種最常用的技術。·通過多形性，惡意軟件每壹次進行新的感染時都會改變代碼，從而使殺毒軟件產品很難檢測到它。而且，僵屍網絡的開發者目前還使用軟件開發人員用來防止軟件盜版和反向工程的增強代碼的技術。這些技術包括代碼迷惑、加密和進壹步隱藏惡意代碼真實性質的編碼以及讓殺毒軟件廠商更難分析的編碼。許多跡象表明，惡意軟件和僵屍網絡開發者正在開始研究高級的“rootkitting”技術，以便更深地隱藏惡意軟件。·通過利用“rootkitting”技術，也就是隱蔽地安裝惡意軟件的技術，每壹次系統啟動的時候這個名為“rootkit”的惡意軟件都會啟動。rootkit是很難發現的，因為這種惡意軟件在電腦的操作系完全啟動之前就啟動了。rootkit技術的進步包括超劫持和基於虛擬化的rootkit以及發現和利用新目標以便註入固件和BIOS等代碼。虛擬機監視器(VMM)或者在壹個操作系統下面運行的管理程序是僵屍網絡和惡意軟開發者控制計算機系統的壹個非常有用的手段。超劫持包括安裝壹個能夠完全控制這個系統的惡意管理程序。普通的安全措施很難對付這種管理程序，因為操作系統不知道這個機器已經被攻破了，殺毒軟件和本地防火墻也不能發現它們。僵屍網絡開發者目前使用的另壹個技術是主動攻擊殺毒軟件、本地防火墻以及入侵防禦與檢測軟件(IPS/ IDS)和服務。僵屍網絡攻擊殺毒軟件和防火墻軟件使用的技術包括殺死安全軟件流程或者阻止其更新能力等手段。下面是我們了解的僵屍網絡封鎖安全軟件更新的兩個例子：·壹個僵屍網絡改變了被感染的系統的本地DNS設置以阻止殺毒軟件訪問其更新網站。·僵屍網絡主動檢查安全軟件連接其更新網站的企圖並且封鎖這個連接。這些封鎖安全軟件更新的技術阻止安全軟件獲得其廠商提供的更新的惡意軟件特征，或者阻止安全軟件向中心廠商服務器報告異常情況和獲得更新，從而阻止安全軟件發布對抗僵屍網絡的新版本程序。僵屍網絡開發者使用的另壹種感染技術是把感染的時間定在安全軟件實施惡意軟件檢測服務掃描的間隔時間裏。僵屍電腦程序緩慢地感染壹個系統不會引起入侵檢測軟件服務發出報警。其它高級的僵屍電腦程序能夠欺騙IDS/IPS系統和殺毒軟件執行的本地和遠程掃描。在這種情況下，這個僵屍網絡的惡意軟件會向進行掃描的殺毒軟件展示虛假的內存鏡像或者虛假的硬件鏡像，或者這個軟件通過丟棄數據包中斷安全漏洞掃描，欺騙網絡的響應或者重新定向來自安全漏洞掃描器的通訊。指揮與控制。僵屍網絡指揮與控制服務器使用若幹協議中的壹個協議進行通訊，目前最常用的壹個協議是IRC。然而，最近開始出現壹種使用增強的或者保護的協議的趨勢。例如，Storm(風暴)僵屍網絡使用加密的P2P協議(eDonkey/Overnet)。指揮與控制技術的進步對於僵屍牧人防止其僵屍網絡被發現和關閉是非常重要的。要達到這個目的，僵屍網絡已經開始利用在網絡上常用的HTTP和P2P等協議，從而使僵屍網絡更難發現。HTTP協議對於僵屍網絡是特別有利的，因為目前來自系統的HTTP通訊量非常大並且具有多種類型的通訊。此外，僵屍網絡軟件還能夠利用本地瀏覽器軟件的許多功能和通訊棧，利用HTTP協議穿過防火墻的能力。其它即將出現的技術還包括使用VoiP、Web服務和HTTP通訊棧中的腳本等技術。另壹個高級的技術是使用直接發送的方式，就是利用用戶能夠匿名發布信息的互聯網論壇或者新聞組等網站傳播僵屍網絡軟件。僵屍網絡節點能夠在這種網站上發布信息。僵屍牧人能夠匿名地查看自己的節點發送的信息並且發布指令。然後，這個僵屍網絡節點能夠查詢這個網站了解新的指令和進行其它基於消息的指揮與控制通訊。現代僵屍網絡發展的壹個關鍵功能是在感染壹個系統之後能夠重新編程或者更新這個僵屍網絡節點。這個指揮與控制指令可以讓這個節點直接下載更新軟件或者去壹個被感染的具體網址下載這個更新軟件。具有可重新編程能力的僵屍網絡在這種地下經濟中有很高的價值，因為這些僵屍網絡能夠隨著發展而擴大以執行新的和高級的攻擊和隱蔽的任務。如上所述，隱蔽是僵屍網絡技術的壹個關鍵的功能。Kracken和Conficker僵屍網絡都攻擊和關閉安裝在系統中的殺毒軟件。其它僵屍網絡故意通過客戶化制定感染的時機和通訊的頻繁程度以避開門限檢測軟件，防止本地的和網絡的安全產品發現其蹤跡。算法技術是下壹種方式。僵屍網絡開發者計劃利用這種技術避開檢測。這種技術包括使用隱蔽的通訊頻道和基於速記式加密的信息，如模仿和嵌入內容(也就是嵌入在圖像、流媒體、VoiP等內容中的消息)。攻擊階段。僵屍網絡生命周期的最後階段是攻擊階段。在許多情況下，這種攻擊只是簡單地發送攜帶感染病毒的垃圾郵件。當攻擊成功的時候，這個僵屍網絡本身的規模將擴大。僵屍網絡還經常用於發送垃圾郵件，作為實物交易和租借交易的壹部分。這樣，釣魚攻擊者、黑客、垃圾郵件制造者和病毒作者就能夠利用僵屍網絡銷售信息和服務。僵屍網絡還用來實施大規模拒絕服務攻擊，攻擊的目標包括政府和企業系統，甚至還攻擊其它僵屍網絡。壹些新的僵屍網絡能夠升級到使用各種黑客工具和故障註入器等技術進壹步攻擊它們已經滲透進去的網絡。例如，Asprox僵屍網絡包含壹種SQL註入攻擊工具，另壹種僵屍網絡包括壹個蠻力SSH攻擊引擎。除了實施遠程攻擊之外，僵屍網絡還能夠實施持續的本地攻擊，竊取被感染的系統及其用戶的身份證和賬戶。