殭屍網絡
殭屍網絡是一組由Internet連接的設備,每個設備都運行一個或多個機器人。殭屍網絡可用於執行分佈式拒絕服務(DDOS)攻擊,竊取數據,發送垃圾郵件並允許攻擊者訪問設備及其連接。所有者可以使用命令和控制(C&C)軟件控制殭屍網絡。 “殭屍網絡”一詞是“機器人”和“網絡”單詞的portmanteau 。該術語通常具有負面或惡意的內涵。
概述
殭屍網絡是Internet連接設備的邏輯集合,例如計算機,智能手機或物聯網(IoT)設備,其安全性已被破壞並控製到第三方。當設備被惡意軟件(惡意軟件)發行的軟件滲透到設備時,將創建每個被稱為“機器人”的設備。殭屍網絡的控制器能夠通過基於標準的網絡協議(例如IRC和Hypertext傳輸協議(HTTP))形成的通信渠道來指導這些受損的計算機的活動。
網絡犯罪分子越來越多地出租殭屍網絡作為各種目的的商品,包括作為靴子/壓力器服務。
建築學
隨著時間的流逝,殭屍網絡建築的發展是為了逃避檢測和破壞。傳統上,機器人程序是通過現有服務器通信的客戶構建的。這使機器人牧羊人(殭屍網絡的控制器)可以從遠程位置執行所有控制,從而使流量混淆。現在,許多最近的殭屍網絡依靠現有的對等網絡進行交流。這些P2P機器人程序執行與客戶端 - 服務器模型相同的操作,但它們不需要中央服務器進行通信。
客戶端 - 服務器模型
Internet上的第一個殭屍網絡使用客戶端 - 服務器模型來完成其任務。通常,這些殭屍網絡通過Internet繼電器聊天網絡,域或網站運行。感染的客戶訪問服務器的預定位置並等待傳入的命令。機器人牧民將命令發送到服務器,將其傳達給客戶端。客戶執行命令並將其結果報告回機器人牧民。
對於IRC殭屍網絡,感染的客戶連接到受感染的IRC服務器,並加入Bot Herder預先指定的C&C的頻道。機器人牧民通過IRC服務器將命令發送到頻道。每個客戶端檢索命令並執行它們。客戶以其動作的結果將消息發送回IRC渠道。
點對點
為了回應檢測和斬首IRC殭屍網絡的努力,機器人牧群已經開始在點對點網絡上部署惡意軟件。這些機器人可以使用數字簽名,以便只有訪問私鑰的人才能控制殭屍網絡,例如在Gameover Zeus和ZeroAccess殭屍網絡中。
較新的殭屍網絡通過P2P網絡完全運行。 P2P機器人沒有與集中式服務器進行通信,而是作為命令發行服務器和接收命令的客戶端執行的。這避免了任何單點故障,這是集中式殭屍網絡的問題。
為了找到其他受感染的機器,P2P機器人謹慎探測隨機IP地址,直到識別另一台受感染的機器為止。聯繫機器人的答复,其中包括其軟件版本和已知機器人列表。如果一個機器人的版本之一低於另一個版本,則將啟動文件傳輸以更新。這樣,每個機器人都會通過定期通信所有已知的機器人來生長其受感染機器的列表,並自我更新。
核心組件
殭屍網絡的發起人(稱為“機器人牧羊人”或“ bot Master”)遠程控制殭屍網絡。這被稱為命令和控制(C&C)。該操作的程序必須通過秘密通道與受害者的機器(殭屍計算機)上的客戶進行通信。
控制協議
由於其通信協議, IRC在歷史上是C&C的一種偏愛手段。一個機器人牧民為受感染的客戶創建了IRC頻道。發送到頻道的消息均廣播給所有頻道成員。機器人牧羊人可能會設置頻道的主題來指揮殭屍網絡。例如,消息 :[email protected] TOPIC #channel DDoS www.victim.com 從機器人傳教士提醒所有屬於#Channel的感染客戶,以開始在網站www.victim.com上進行DDOS攻擊。一個示例響應 :[email protected] PRIVMSG #channel I am DDoSing www.victim.com 由機器人客戶提醒機器人牧民已經開始攻擊了。
一些殭屍網絡實施了知名協議的自定義版本。實施差異可用於檢測殭屍網絡。例如, MEGA-D具有稍微修改的簡單郵件傳輸協議(SMTP)實現,用於測試垃圾郵件功能。使Mega-D的SMTP服務器禁用依賴同一SMTP服務器的整個機器人池。
殭屍計算機
在計算機科學中,殭屍計算機是連接到互聯網的計算機,該計算機已被黑客,計算機病毒或特洛伊木馬妥協,可用於在遠程指導下執行惡意任務。殭屍計算機的殭屍網絡通常用於傳播電子郵件垃圾郵件並發起拒絕服務攻擊(DDOS)。大多數殭屍計算機的所有者都不知道以這種方式使用其係統。由於所有者往往不知道,因此這些計算機與殭屍相比是比較的。多個殭屍網機的協調DDOS攻擊也類似於殭屍部落的攻擊。
由於系統連接到“殭屍網絡”而竊取計算資源的過程有時稱為“ scrumping”。
命令與控制
從傳統的IRC方法到更複雜的版本,殭屍網絡命令和控制(C&C)協議已通過多種方式實現。
telnet
telnet殭屍網絡使用簡單的C&C殭屍網絡協議,其中機器人連接到主命令服務器以託管殭屍網絡。通過使用掃描腳本將機器人添加到殭屍網絡,該腳本在外部服務器上運行,並掃描IP範圍以供telnet和SSH服務器默認登錄。找到登錄名後,掃描服務器可以通過惡意軟件通過SSH感染它,該惡意軟件將ping ping Control Server。
IRC
IRC網絡使用簡單的低帶寬通信方法,使其廣泛用於託管殭屍網絡。它們在構造方面往往相對簡單,並且在協調DDOS攻擊和垃圾郵件廣告系列的同時,已獲得適度的成功,同時能夠不斷切換渠道以避免被拆除。但是,在某些情況下,僅僅阻止某些關鍵字已被證明有效地停止了基於IRC的殭屍網絡。 RFC 1459( IRC )標准在殭屍網絡中很受歡迎。第一個已知的流行殭屍網絡控制器腳本“ Maxite Bot”是使用IRC XDCC協議作為私有控制命令。
使用IRC的一個問題是,每個Bot客戶端必須知道IRC服務器,端口和頻道對殭屍網絡有用。反惡意軟件組織可以檢測並關閉這些服務器和頻道,從而有效地停止殭屍網絡攻擊。如果發生這種情況,客戶仍然會被感染,但是由於他們無法接收說明,他們通常會處於休眠狀態。為了減輕此問題,殭屍網絡可以由多個服務器或通道組成。如果其中一個服務器或通道被禁用,則殭屍網絡只需切換到另一個。仍然可以通過嗅探IRC流量來檢測和破壞其他殭屍網絡服務器或通道。殭屍網絡對手甚至可以潛在地獲得控制方案的知識,並通過正確發布命令來模仿機器人牧羊人。
P2P
由於大多數使用IRC網絡和域的殭屍網絡可以隨著時間的流逝而被刪除,因此黑客已經將使用C&C的P2P殭屍網絡移動到P2P殭屍網絡,以使殭屍網絡更具彈性和抵抗力。
有些人還使用加密作為保護或鎖定其他殭屍網絡的一種方式,大多數時候,當他們使用加密時,它是公開的加密,並且在實施它和打破它方面都提出了挑戰。
域
許多大型殭屍網絡傾向於在其構造中使用域而不是IRC(請參閱Rustock Botnet和Srizbi Botnet )。他們通常託管防彈託管服務。這是C&C的最早類型之一。殭屍計算機訪問專門設計的網頁或域,該網頁或域,該網頁列出了控制命令的列表。使用網頁或域作為C&C的優點是,可以通過非常簡單的代碼有效地控制和維護大型殭屍網絡,並且可以很容易地更新。
使用這種方法的缺點是,它在大規模上使用了相當多的帶寬,而政府機構很少努力迅速抓住域名。如果未扣押控制殭屍網絡的域,則它們也是拒絕服務攻擊的妥協目標。
快速頻率DNS可以用來使追踪控制服務器的難度很難,該控制器每天可能會發生變化。控制服務器也可以從DNS域到DNS域,其中域生成算法用於為控制器服務器創建新的DNS名稱。
一些殭屍網絡使用免費的DNS託管服務,例如dyndns.org , no-ip.com ,而恐懼。org將子域指向攜帶機器人的IRC服務器。儘管這些免費的DNS服務本身並不託管攻擊,但它們提供了參考點(通常將其硬編碼為殭屍網絡可執行)。刪除此類服務會削弱整個殭屍網絡。
其他的
回到大型社交媒體網站,例如GitHub , Twitter , Reddit , Instagram , XMPP開源即時消息協議和TOR隱藏服務是避免出口過濾以與C&C服務器通信的流行方式。
建造
傳統的
此示例說明瞭如何創建和用於惡意增益的殭屍網絡。
- 黑客購買或構建特洛伊木馬和/或利用套件,並使用它來感染用戶的計算機,其有效負載是惡意應用程序 -機器人。
- 該機器人指示感染的PC連接到特定的命令和控制服務器(C&C)服務器。 (這允許Botmaster保留數量有關多少機器人的活動和在線。)
- 然後,Botmaster可以使用機器人來收集擊鍵或使用抓取表格來竊取在線憑據,並可能將殭屍網絡作為DDOS和/或垃圾郵件出租為服務或在線出售憑據以獲利。
- 根據機器人的質量和能力,值增加或降低。
較新的機器人可以自動掃描環境並使用漏洞和弱密碼來傳播自己。通常,機器人可以掃描和傳播的脆弱性越多,對殭屍網絡控制器社區的價值就越大。
當計算機執行惡意軟件時,可以將計算機選擇為殭屍網絡。這可以通過吸引用戶進行下載,利用Web瀏覽器漏洞或欺騙用戶運行Trojan Horse Program(可能來自電子郵件附件)來實現。該惡意軟件通常會安裝允許計算機由殭屍網絡運營商命令和控制計算機的模塊。下載軟件後,它將調用Home(將重新連接數據包發送到主機計算機)。當進行重新連接時,根據其編寫方式,特洛伊木馬可能會自行刪除或可能保留以更新和維護模塊。
其他的
在某些情況下,殭屍網絡可能是由志願者黑客主義者暫時創建的,例如,在2010年項目Chanology期間, 4chan成員使用的低軌道離子大砲的實現。
中國的大砲允許修改互聯網式託管的合法網絡瀏覽流量,以創建一個大型短暫的殭屍網絡,以攻擊2015年Github等大型目標。
常用用途
- 分佈式拒絕服務攻擊是殭屍網絡中最常見的用途之一,其中多個系統提交了盡可能多的請求到一台Internet計算機或服務,使其超載並防止其為合法請求提供服務。一個例子是對受害者服務器的攻擊。受害者的服務器被機器人的請求轟炸,試圖連接到服務器,因此將其重載。 Google Draud Czar Shuman Ghosemajumder表示,由於將殭屍網絡用作服務,因此在主要網站上發生停電的這種類型的攻擊將繼續發生。
- 間諜軟件是將信息發送給創作者有關用戶活動的軟件 - 通常是密碼,信用卡號和其他可以在黑市上出售的信息。位於公司網絡中的機器折衷的機器對機器人牧師來說可能更有價值,因為它們通常可以訪問機密的公司信息。旨在竊取敏感信息的大型公司的幾項有針對性的攻擊,例如Aurora Botnet。
- 電子郵件垃圾郵件是偽裝成來自人的消息的電子郵件,但要么是廣告,煩人或惡意。
- 當用戶的計算機訪問網站而沒有用戶意識創建虛假的網絡流量以供個人或商業收益創建錯誤的網站時,就會發生點擊欺詐。
- 根據Cheq, AD欺詐2019年,AD欺詐通常是惡意機器人活動的結果,這是互聯網上不良行為者的經濟成本。機器人的商業目的包括使用它們來提高其所謂的知名度的影響者,以及在線發布者使用機器人來增加廣告收到的點擊次數,從而使網站可以從廣告客戶那裡獲得更多佣金。
- 憑證填充攻擊使用殭屍網絡登錄到許多用被盜密碼的用戶帳戶,例如在2022年對通用電機的攻擊中。
- 比特幣挖掘在一些最近的植物網絡中使用,其中包括比特幣挖掘作為一項功能,以便為殭屍網絡的運營商生成利潤。
- 在幾個殭屍網絡中也發現了自我宣傳的功能,以尋求預先配置的命令和控制(CNC)推動的指令包含有針對性的設備或網絡,以旨在更多感染。一些殭屍網絡正在利用此功能自動化其感染。
市場
殭屍網絡控制器社區不斷競爭誰擁有最多的機器人,最高的整體帶寬以及最“高質量”的感染機器,例如大學,公司甚至政府機器。
儘管殭屍網絡通常以創建它們的惡意軟件命名,但多個殭屍網絡通常使用相同的惡意軟件,但由不同的實體操作。
網絡釣魚
殭屍網絡可用於許多電子騙局。這些殭屍網絡可用於分發惡意軟件,例如病毒,以通過控制某人的個人計算機來控制普通用戶計算機/軟件,它們無限制地訪問其個人信息,包括密碼和登錄信息到帳戶。這稱為網絡釣魚。網絡釣魚是通過鏈接獲得“受害者”點擊的“受害者”帳戶的登錄信息,通過電子郵件或文字發送。 Verizon的一項調查發現,大約三分之二的電子“間諜”病例來自網絡釣魚。
對策
殭屍網絡的地理散佈意味著每個招募必須單獨識別/糾正/修復,並限制過濾的好處。
計算機安全專家已經成功地破壞或顛覆了惡意軟件命令和控製網絡,除其他手段外,抓住服務器或使其與Internet切斷,否認訪問惡意軟件將用於與其C&C基礎架構聯繫的域,而且,在某些情況下,會闖入C&C網絡本身。為此,C&C運營商已訴諸於使用其他現有良性基礎架構(例如IRC或TOR)覆蓋其C&C網絡的技術,使用不依賴任何固定服務器的對等網絡系統,以及使用公共密鑰加密打敗闖入或欺騙網絡的嘗試。
Norton Antibot針對消費者,但大多數目標企業和/或ISP。基於宿主的技術使用啟發式方法來識別繞過常規反病毒軟件的機器人行為。基於網絡的方法傾向於使用上述技術。關閉C&C服務器,零路由DNS條目,或完全關閉IRC服務器。 Bothunter是在美國陸軍研究辦公室的支持下開發的軟件,該軟件通過分析網絡流量並將其與惡意過程的模式特徵進行比較來檢測網絡中的殭屍網絡活動。
桑迪亞國家實驗室的研究人員正在通過同時運行一百萬個Linux內核(與殭屍網絡類似的規模)分析殭屍網絡的行為,就像4,480節點高性能的計算機群體上的虛擬機一樣殭屍網絡可以使用阻止它們的方法進行工作。
隨著攻擊者正在推出新的和更複雜的機器人,發現自動機器人攻擊變得越來越困難。例如,自動攻擊可以部署大型機器人軍隊,並應用具有高度準確的用戶名和密碼列表的蠻力方法來砍成帳戶。這個想法是讓來自世界各地不同IP的數万個請求的站點不知所措,但是每個機器人只每10分鐘左右提交一次請求,這可能會導致每天超過500萬次嘗試。在這些情況下,許多工具試圖利用體積檢測,但是自動機器人攻擊現在可以規避體積檢測的觸發器。
檢測這些機器人攻擊的技術之一是所謂的“基於簽名的系統”,在該系統中,軟件將嘗試檢測請求數據包中的模式。但是,攻擊正在不斷發展,因此當無法從數千個請求中辨別出模式時,這可能不是一個可行的選擇。還有一種行為方法來挫敗機器人,最終試圖將機器人與人類區分開。通過識別非人類行為並識別已知的機器人行為,可以在用戶,瀏覽器和網絡級別上應用此過程。
使用軟件對抗病毒的最強大的方法是利用HoneyPot軟件來說服惡意軟件系統易受傷害。然後使用法醫軟件分析惡意文件。
2014年7月15日,美國參議院司法委員會犯罪與恐怖主義小組委員會舉行了關於殭屍網絡和公共和私人努力破壞和拆除它們的威脅的聽證會。
脆弱的物聯網設備的增加導致基於IoT的殭屍網絡攻擊的增加。為了解決這個問題,引入了一種基於網絡的新型異型檢測方法,稱為N-Baiot。它捕獲了網絡行為快照,並採用了深層自動編碼器來識別受損害的物聯網設備的異常流量。通過用Mirai和Bashlite殭屍網絡感染9個IoT設備來測試該方法,顯示其能夠準確並迅速檢測出源自植物網中的IoT設備的攻擊的能力。
此外,比較檢測殭屍網絡的不同方法對研究人員確實很有用。它可以幫助他們了解每種方法與其他方法相比的工作效果。這種比較很好,因為它使研究人員可以公平地評估這些方法並找到使它們更好的方法。
殭屍網絡的歷史清單
第一個殭屍網絡在2001年與臭名昭著的垃圾郵件發送者Khan C. Smith的訴訟中首先被Earthlink承認和暴露。殭屍網絡是為了散裝垃圾郵件而建造的,當時佔所有垃圾郵件的近25% 。
2006年左右,為了阻止檢測,一些殭屍網絡的大小縮小。
| 創建日期 | 日期拆除 | 姓名 | 估計沒有。機器人 | 垃圾郵件容量(BN/天) | 別名 |
|---|---|---|---|---|---|
| 2003 | Maxite | 500-1000台服務器 | 0 | Maxite XDCC機器人,Maxite IRC TCL腳本,MaxServ | |
| 2004(早期) | Bagle | 230,000 | 5.7 | 小獵犬,mitglieder,Lodeight | |
| Marina Botnet | 6,215,000 | 92 | Damon Briant,Bob.DC,Cotmonger,Hacktool.Spammer,Kraken | ||
| 托皮格 | 180,000 | 辛諾爾,安塞林 | |||
| 風暴 | 160,000 | 3 | Nuwar,Pecomm,Zhelatin | ||
| 2006(周圍) | 2011年(3月) | 魯斯特 | 150,000 | 30 | rkrustok,costrat |
| Donbot | 125,000 | 0.8 | Buzus,Bachsoy | ||
| 2007(周圍) | cutwail | 1,500,000 | 74 | Pandex,突變體(與:Wigon,Pushdo有關) | |
| 2007 | 阿克伯特 | 1,300,000 | |||
| 2007(3月) | 2008(11月) | Srizbi | 450,000 | 60 | cbeplay,交換器 |
| 致命 | 260,000 | 2 | 沒有任何 | ||
| Xarvester | 10,000 | 0.15 | RLSLOUP,PIXOLIZ | ||
| 2008(周圍) | Sality | 1,000,000 | Kuku部門 | ||
| 2008(周圍) | 2009-DEC | Mariposa | 12,000,000 | ||
| 2008(周圍) | 克萊肯 | 495,000 | 9 | 克拉肯 | |
| 2008(11月) | 混意 | 10,500,000+ | 10 | 沮喪,沮喪,下腹,小孩 | |
| 2008(11月) | 2010年(3月) | WALEDAC | 80,000 | 1.5 | WALED,WALEDPAK |
| 馬茲本 | 50,000 | 0.5 | 沒有任何 | ||
| OneWordSub | 40,000 | 1.8 | |||
| GHEG | 30,000 | 0.24 | 托夫,蒙德拉 | ||
| nucrypt | 20,000 | 5 | Loosky,洛克斯基 | ||
| 沃普拉 | 20,000 | 0.6 | pokier,slogger,隱秘 | ||
| 2008(周圍) | asprox | 15,000 | Danmec,Hydraflux | ||
| 垃圾郵件 | 12,000 | 0.35 | 垃圾郵件 - dcomserv,Covesmer,Xmiler | ||
| 2008(周圍) | Gumblar | ||||
| 2009(5月) | 2010年11月(未完成) | 布雷多布 | 30,000,000 | 3.6 | Oficla |
| 2009年(周圍) | 2012-07-19 | 格魯姆 | 560,000 | 39.9 | 特德魯 |
| Mega-D | 509,000 | 10 | Ozdok | ||
| 2009(8月) | Festi | 250,000 | 2.25 | Spamnost | |
| 2010年(3月) | Vulcanbot | ||||
| 2010年(一月) | Lowsec | 11,000+ | 0.5 | Lowsecurity,Freemoney,ring0.tools | |
| 2010年(周圍) | TDL4 | 4,500,000 | TDSS,Alureon | ||
| 宙斯 | 3,600,000(僅美國) | ZBOT,PRG,WSNPOEEM,GORHAX,KNEBER | |||
| 2010 | (幾個:2011,2012) | Kelihos | 300,000+ | 4 | hlux |
| 2011年或更早 | 2015-02 | 拉姆尼特 | 3,000,000 | ||
| 2012年(周圍) | 變色龍 | 120,000 | 沒有任何 | ||
| 2014 | 必要 | 6,000,000 | |||
| 2016(8月) | Mirai | 380,000 | 沒有任何 | ||
| 2022 | 螳螂 | 5000 |
- 加利福尼亞大學聖塔芭芭拉(Santa Barbara)的研究人員控制了一個比預期的六倍的殭屍網絡。在某些國家 /地區,通常用戶一天之內幾次更改其IP地址。研究人員經常使用通過IP地址數量估算殭屍網絡的大小,這可能導致評估不准確。