61阅读

僵尸网络-Linux现僵尸网络,攻击目标90%位于亚洲

发布时间:2017-10-14 所属栏目:网络安全

一 : Linux现僵尸网络,攻击目标90%位于亚洲

linux服务器 僵尸网络 僵尸网络病毒

安全公司Akamai发现了一种Linux僵尸网络XOR DDoS,每天至少瞄准20个网站,近90%的目标站点位于亚洲。

僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。僵尸网络极具危险,影响深远,一旦机器被控制,只能任其操作,而关键是你对这一切并不知晓。而对于攻击者而言却是同时远程控制多台设备终端的最好途径,而且这种网络隐蔽性很强,很难被发现,因此也是黑客们最亲睐的作案工具。

linux服务器 僵尸网络 僵尸网络病毒

僵尸网络通常被黑客用来进行发布式拒绝服务攻击(DDoS),在这次的攻击中,攻击者使用僵尸程序XOR DDoS劫持Linux机器,并将其加入到僵尸网络,从而发起DDoS。据Akamai的报告称,迄今为止,XOR DDoS僵尸网络的DDoS攻击带宽从数十亿字节每秒(Gbps)到150+Gbps。游戏行业是其主要的攻击目标,然后是教育机构。今天早上Akamai SIRT发布了一份安全威胁报告,该报告由安全响应工程师Tsvetelin ‘Vincent’ Choranov所作。

linux服务器 僵尸网络 僵尸网络病毒

研究人员发现,XOR DDoS攻击依赖于Linux机器。而从近来发现的僵尸网络来看,Linux已经成为僵尸网络主要攻击的对象。比如Spike DDoS工具包和IptabLes and IptabLex恶意软件,它们在去年针对Linux服务器进行大规模的DDoS攻击。

“十年前,Linux曾被认为是最安全的操作系统,很多公司都因此而引进。不过随着Linux系统环境的扩大,对于攻击者而言潜在的机会也越来越多,他们会继续升级攻击策略和工具,而安全人员也应该继续加强Linux的防护系统。”Akamai 的团队发言道。

延伸阅读:

  • 微软宣布破坏全球最大的涉200万台电脑僵尸网络
  • 全球五分之一僵尸网络寄居北美地区
  • 僵尸网络向手机蔓延 黑客控制14%移动流量
  • 最大僵尸网络横行 百万安卓手机沦为“肉鸡”
  • 全球第三大僵尸网络被捣毁:垃圾邮件减少18%

二 : 僵尸网络:僵尸网络-简介,僵尸网络-主要特点

僵尸网络(Botnet,亦译为丧尸网络、机器人网络)是指黑客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客常说的僵尸电脑或肉鸡,组织成一个个控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。

僵尸网络_僵尸网络 -简介

僵尸网络:僵尸网络-简介,僵尸网络-主要特点_僵尸网络僵尸网络“僵尸网络”指感染病毒的互联网计算机群,常在犯罪分子远程控制下发起大规模网络攻击,如发送大量垃圾邮件、向网站实施分布式拒绝服务攻击(DDos)和传播恶意代码。犯罪分子可随意窃取“染病”计算机内的信息,如银行账户、密码。这些受感染的电脑被称“肉鸡”。

最早的僵尸网络出现在1993年,在IRC聊天网络中出现。1999年后IRC协议的僵尸程序大规模出现。

僵尸网络是指采用1种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的1个可一对多网络控制.在botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(ControlServer)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。

僵尸网络_僵尸网络 -主要特点

僵尸网络:僵尸网络-简介,僵尸网络-主要特点_僵尸网络僵尸网络

僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前1个国际上十分关注的问题。然而,发现1个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。

首先是1个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是1种病毒或蠕虫。

最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了1个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。

僵尸网络_僵尸网络 -发展过程

Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第1个bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。

20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。

1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第1个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。

2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。

从良性bot的出现到恶意bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。

僵尸网络_僵尸网络 -工作过程

Botnet的工作过程包括传播、加入和控制3个阶段。1个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:

(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。

(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。

(3)即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。

(4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。

(5)特洛伊木马。伪装成有用的软件,在网站、FTP 服务器、P2P 网络中提供,诱骗用户下载并执行。通过以上几种传播手段可以看出,在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。

在加入阶段,每1个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。

在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。

僵尸网络_僵尸网络 -种类分类

(1)Agobot/Phatbot/Forbot/XtremBot。这有可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过500种已知的不同版本的Agobot(Sophos 病毒分析),这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计,以模块化的方式组合,添加命令或者其他漏洞的扫描器及攻击功能非常简单,并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的,因为它包含了监测调试器(Softice 和O11Dbg)和虚拟机(VMware 和Virtual PC)的功能。

(2)SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件,SDBot 由C语言写成。它提供了和Agobot 一样的功能特征,但是命令集没那么大,实现也没那么复杂。它是基于IRC协议的1类bot程序。

(3)GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的,GT是(Global Threat)的缩写。这类僵尸工具用脚本和其他二进制文件开启1个mIRC聊天客户端。 但会隐藏原mIRC窗口。通过执行mIRC 脚本连接到指定的服务器频道上,等待恶意命令。这类bot程序由于捆绑了mIRC程序,所以体积会比较大,往往会大于1MB。

僵尸网络_僵尸网络 -控制分类

(1)IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet,形成这类Botnet的主要bot程序有spybot、GTbot和SDbot,目前绝大多数Botnet属于这1类别。

(2)AOL Botnet。与IRC Bot类似,AOL为美国在线提供的1种即时通信服务,这类Botnet是依托这种即时通信服务形成的网络而建立的,被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL InstantMessager实现对Bot的控制。

(3)P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端,可以连入采用了Gnutella技术(1种开放源码的文件共享技术)的服务器,利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接,就使得每1个僵尸主机可以很方便地找到其他的僵尸主机并进行通信,而当有一些bot被查杀时,并不会影响到Botnet的生存,所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。

僵尸网络_僵尸网络 -危害特点

僵尸网络:僵尸网络-简介,僵尸网络-主要特点_僵尸网络恐怖僵尸网络

Botnet构成了1个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型,Botnet还可能被用来发起新的未知攻击。

(1)拒绝服务攻击。使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于Botnet可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。

(2)发送垃圾邮件。一些bots会设立sockv4、v5 代理,这样即可利用Botnet发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。

(3)窃取秘密。Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。

(4)滥用资源。攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

可以看出,Botnet无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少Botnet的危害。

僵尸网络_僵尸网络 -研究现状

僵尸网络:僵尸网络-简介,僵尸网络-主要特点_僵尸网络痛批僵尸网络

对于Botnet的研究是最近几年才逐渐开始的,从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发,将其视为1种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从2004 年开始,在其每半年发布一次的安全趋势分析报告中,以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出,僵尸程序的盛行是2004年病毒领域最重大的变化。

学术界在2003年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析,如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005 年1月通过部署Win32蜜罐机发现并对近100个Botnet进行了跟踪,并发布了Botnet跟踪的技术报告。

Botnet的1个主要威胁是作为攻击平台对指定的目标发起DDos(分布式拒绝服务攻击)攻击,所以DDos的研究人员同样也做了对Botnet的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中,分析了基于IRC协议的bot程序的行为特征,在网络流量中择选出对应关系,从而检测出Botnet的存在。该组织的这个研究方法通过在plantlab中搭建1个Botnet的实验环境来进行测试,通过对得到的数据进行统计分析,可以有效验证关于Botnet特征流量的分析结果,但存在着一定的误报率。

国内在2005年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪Botnet的项目,对收集到的恶意软件样本,采用了沙箱、蜜网这2种各有优势的技术对其进行分析,确认其是否为僵尸程序,并对僵尸程序所要连接的Botnet控制信道的信息进行提取,最终获得了60,000 多个僵尸程序样本分析报告,并对其中500多个仍然活跃的Botnet进行跟踪,统计出所属国分布、规模分布等信息。

国家应急响应中心通过863-917网络安全监测平台,在2005年共监测到的节点大于1000个的Botnet规模与数量统计。这些数据和活动情况都说明,中国国内网上的Botnet的威胁比较严重,需要引起网络用户的高度重视。

CCERT恶意代码研究项目组在2005年7月开始对Botnet的研究工作,通过对大量已经掌握的Botnet的实际跟踪与深入分析,对基于IRC协议的Botnet的服务器端的特征进行了分类提取,形成对于Botnet 服务器端的判断规则,从而可以对网络中的IRC Server进行性质辨别。设计并初步实现了Botnet自动识别系统,应用于中国教育和科研计算机网络环境中。

可以看出,从国内到国外,自2004年以来对Botnet的研究越来越多地受到网络安全研究人员的重视,研究工作已经大大加强。但是这些工作还远远不够,在检测和处置Botnet方面还有许多工作要做。

僵尸网络_僵尸网络 -研究方法

对于目前比较流行的基于IRC协议的Botnet的研究方法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。

(1)使用蜜网技术。蜜网技术是从bot程序出发的,可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到Botnet中去,当确认其确实为Botnet后,可以对该Botnet采取相应的措施。

(2)网络流量研究。网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征,将僵尸主机分为2类:长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着3个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同1个IRC Server中;二是僵尸计算机一般会长时间在线;三是僵尸计算机作为1个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第1种行为特征归纳为快速加入型,将第二、3种行为特征归纳为长期发呆型。研究对应这2类僵尸计算机行为的网络流量变化,使用离线和在线的2种分析方法,即可实现对Botnet的判断。

(3)IRC Server识别技术的研究。通过登录大量实际的基于IRC协议的Botnet的服务器端,可以看到,由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时,通过对bot源代码的分析看到,当被感染主机加入到控制服务器时,在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结,就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则,这样即可直接确定出Botnet的位置及其规模、分布等性质,为下1步采取应对措施提供有力的定位支持。

以上3种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少,原因是由于其实现比较复杂,在网络中并不占有太大比例,同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展,对于P2P结构的Botnet的研究也将进1步深入。

僵尸网络_僵尸网络 -美国司法当局打击僵尸网络

2011年4月13日,美国司法当局宣布,逮捕1个网络犯罪团伙13名成员。这些嫌疑人用恶意软件远程控制超过200万台电脑,盗窃和诈骗案值估计超过1亿美元。 联邦调查局和司法部当天发表联合声明,调查人员12日部分摧毁1个名为Coreflood的“僵尸网络”,查获5台主控服务器和二十九个网络域名,逮捕13名嫌疑人。一些调查人员说,嫌疑人过去10年借助名为Coreflood的恶意软件,利用美国微软公司“视窗”操作系统漏洞,入侵全球大约233万台电脑,其中185万台在美国。 调查人员已部分切断“染病”电脑与主服务器的联系。当Coreflood窃取用户数据向主服务器请求发送时,调查人员发出指令:“不发送,立即关闭。” 执法部门向一家设在康涅狄格州的联邦地区法院提起诉讼,指认嫌疑人实施银行欺诈和非法入侵电子通信系统。

僵尸网络_僵尸网络 -微软赛门铁克联手打击僵尸网络

2013年2月7日下午(北京时间)消息,微软和赛门铁克星期三宣布,已对1个全球信息犯罪组织进行了打击,关闭了该组织的服务器。这些服务器在用户不知情的情况下控制了全球数十万台PC。这一行动导致被恶意软件感染的PC暂时无法在互联网上进行搜索,不过微软和赛门铁克提供了免费工具,用于清除恶意软件,同时将向被感染的计算机自动推送相关消息。

三 : 一个典型僵尸网络浅析

腾讯安全平台部在工作过程中会检测到各类僵尸网络,本文将分析一典型僵尸网络(以下简称botnet)的架构。

僵尸网络 一个典型僵尸网络浅析

《大话西游》 “反正我要死,你就帮个忙。我听说如果刀子出得快部位准[www.61k.com],把人剖开后人不会马上死掉,眼睛还能看得见。你就帮个忙出手快点,把我的心挖出来让我看一看,行不行?”

被攻击是难免的,如果检测得快,我们能发现敌人做了什么,及时控制其蔓延危害网络,亡羊补牢为时未晚。

n僵尸网络传播

botnet或蠕虫,一个重要的特征就是自动传播能力,这里介绍2类常见的传播方式。

Ø漏洞传播

为了快速获取大量被控僵尸肉鸡,攻击者会及时更新攻击模块。笔者有一个经验,每次在检测到有新一波攻击手法时,去查查最近公开的漏洞或许就能看到。

同时作为僵尸网络大范围的攻击行为(甚至是漫无目的的),几乎可以预见到的是他的行为和攻击方式100%会被侦察到,所以他们不会使用最新0day。

用1day是权衡两者最经济的方式,并且偏爱能直接执行命令的类型,譬如:struts2 RCE、JBoss DeploymentFileRepositoryWAR Deployment、CVE-2012-1823(PHP-CGIRCE)等。

Ø自动化攻击工具

漏洞常有,而装有存在漏洞的软件的服务器不常有,但人的弱点总是避免不了的。比如弱口令问题,现如今最古老的弱口令猜解攻击依然存在,ssh\ftp\rdp\telnet等等,加之tomcat管理后台等各种口令。现在越来越快的网速,越来越强的硬件性能使之效率越来越高。

n僵尸网络架构

接下来讲讲最近在捕获的一个僵尸网络,其功能特点非常具有代表性。以下是其各功能模块分析。

Ø下载者

负责接收控制者指令,下载更新功能模块。

僵尸网络 一个典型僵尸网络浅析

Ø传播中继站

僵尸网络制造者为了隐蔽自己也避免整个botnet被捣毁,他不可能将传播源集中到一个地方,所以常常在肉鸡上建立中继站。

在这个案例中,它会搭建一个简易的webserver来实现。

僵尸网络 一个典型僵尸网络浅析

Ø被控端

作为一个僵尸傀儡最主要就是“听话”,此次案例它采用的是irc通道。这里他预设了2个域名作为server通讯地址,而域名解析到的IP是可随时更换的,ircbot随机连接到任一个server。

僵尸网络 一个典型僵尸网络浅析

此ircbot有多个基础功能,如DDOS、执行命令、自杀、更换server、切换静默状态(Disables all packeting)等。

僵尸网络 一个典型僵尸网络浅析

Ø肉鸡功能

Ircbot都是那些古老的功能,下面这些常常才是各种不同BotNet特有的。

u漏洞扫描攻击

本案例中是php CGI的RCE (CVE-2012-1823)

vir:~/tl/aa/tmp # lsChangeLog Makefile TODO bm.h inst ipsort ipsort.sgml php.c pnscan.1 pnscan.o version.c wsLICENSE README bm.c bm.o install-sh ipsort.1 php pnscan pnscan.c pnscan.sgml version.ovir:~/tl/aa/tmp # head php.c/* Apache Magica by Kingcope *//* gcc apache-magika.c -o apache-magika -lssl *//* This is a code execution bug in the combination of Apache and PHP.On Debian and Ubuntu the vulnerability is present in the default installvir:~/tl/aa/tmp # cat ws#!/bin/bashwhile [ 1 ]; do# ___A=`echo $(( (($RANDOM<<15)|$RANDOM) % 255 + 0 ))` ___A=`echo $(( $RANDOM % 255 + 0 ))` ___B=$(( ((RANDOM<<15)|RANDOM) % 255 + 0 )) ./pnscan -w"HEAD / HTTP/1.0\r\n\r\n" -r"Server: Apache" -t 1000 $___A.$___B.0.0/16 80 #echo $___A.$___B#sleep 20done

u挖矿奴隶

僵尸网络 一个典型僵尸网络浅析

现在的”黑客”早已不是之前崇尚自由、崇尚技术极致的时代了,金钱才是他们最终目的,所以我们也在此botnet中发现了“挖掘机”,并且丧心病狂的的黑客同时进行2种网络匿名货币的挖掘bitcoin和primecoin,充分榨干系统性能。

僵尸网络 一个典型僵尸网络浅析

Bitcoin 挖掘机

僵尸网络 一个典型僵尸网络浅析

Primeconin 挖掘机

u提权

此案例中的攻击者并不满足于web漏洞进来获得的普通权限,还通过系统漏洞,以及社工(信息采集)方式获得root权限。

僵尸网络 一个典型僵尸网络浅析

系统提权漏洞工具

僵尸网络 一个典型僵尸网络浅析

爬取conf用于密码root猜解

通过上述分析,我们可以看到此僵尸网络利用CVE-2012-1823漏洞大肆传播,并且利用被控的肉鸡进行2种网络货币的挖掘,充分榨取肉鸡系统资源。

四 : 全球五分之一僵尸网络寄居北美地区

美国电信运营商Level 3近日发布题为《保卫互联网》的调查报告。报告称,全球20%的僵尸网络命令及控制服务器都位于美国。

该报告称,在追踪的僵尸网络控制服务器中,平均有20%来自北美,这个数字几乎是位于乌克兰和俄罗斯控制服务器的总和,西欧和英国占总数的12%,而拉丁美洲仅占2%。研究者称,美国如此吸引黑客是由于其网络基础设施十分完善。报告提到,美国发达的网络基础设施使得黑客更容易在全球范围内搜索到具有攻击价值的目标,美国成了黑客建立良好连接和稳定控制点的理想场所。

作为最热门的僵尸网络寄居地,美国在2015年第一季度并不是僵尸网络的主要受害者。而挪威却是全球受到僵尸网络攻击最多的国家。报告称,全球范围内僵尸网络控制服务器通信量并不均衡。北欧地区受攻击流量占全球平均量的22%;英国为2%;南欧占11%。调查显示,全球平均每天都能侦测到约13亿起网络安全事件。从今年第一季度跟踪的1000余控制服务器相关数据显示,超过600个都是用于针对企业的恶意通信。

本文标题:僵尸网络-Linux现僵尸网络,攻击目标90%位于亚洲
本文地址: http://www.61k.com/1088997.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1