返回首页
[登录] [注册]

防范新型僵尸网络攻击的巧妙技巧

[日期:2009-10-23]   来源:IT168.com  作者:碧波荡漾网 整理   [字体:五分PK10 五分PK10计划 五分PK10注册]
    僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段,将僵尸程序感染给大量主机,从而在控制者和被感染主机之间形成的一个可一对多控制的网络。这些被感染主机深陷其中的时候,又将成为散播病毒和非法侵害的重要途径。如果僵尸网络深入到公司网络或者非法访问机密数据,它们也将对企业造成最严重的危害。

  一、僵尸网络的准确定义

  僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络,它并不是物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。根据最近的一份调查,网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。感染之后,这些主机就无法摆脱bot所有者的控制。

  僵尸网络的规模是大还是小,取决于bot程序所感染主机的多寡和僵尸网络的成熟度。通常,一个大型僵尸网络拥有1万个独立主机,而被感染主机的主人通常也不知道自己的电脑通过IRC(Internet Relay Chat)被遥控指挥。

  由于Bot程序混合了很多恶意软件技术,准确的描述什么叫bot程序以及bot程序的成熟度是很难的。僵尸网络攻击所采用的技术横跨了传统和新兴的界限,它们常采取的攻击方法有如下一些:

  分布式拒绝服务攻击(DDoS)攻击

  一般来说,僵尸网络被用来发动DDoS攻击,DDoS攻击的是电脑系统或是可能导致服务中断的网络,最典型的就是通过消耗受害者的网络带宽或是加载过多的计算资源来使系统崩溃。除此之外,由于DDoS攻击导致每秒发送过多的信息包数量,就会将系统的带宽消耗殆尽。到目前未知,我们所分析的所有的僵尸计算机都极有可能对其它主机发动DDoS攻击。最常用的方式就是TCP SYN和UDPab(User Datagram Protocol, 用户数据报协议)洪水攻击方式。脚本将DDoS是为一种解决一切社会问题的方法。

  更进一步的研究表明,僵尸网路甚至会被别有用心者用来发动对竞争对手的DDoS攻击。Operation Cyberslam记录了Jay R. Echouafni 和 Joshua Schichtel(他化名为EMP)的事件。Echouafni在2004年8月25号被控多重罪名导致受保护的计算机受到威胁。他与EMP合作操控一个僵尸网络发送大量的垃圾邮件,并且对垃圾邮件黑名单服务器发动DDoS攻击使之瘫痪。此外,他们针对全球最大的网上计算平台Speedera的DDoS攻击使得这一站点罢工,而这样做的目的只不过是为了打垮一个竞争对手的网站而已。

  由于DDoS并不局限于网站服务器,实际上,一切形式的英特网的服务都会沦为他们攻击的对象。通过使用特定形式的攻击,高层次的网络协议可以备用做增加网络负载量的有效工具,譬如说在受害者的网络里的BBS上或是递归HTTP溢出运行无数的搜索请求。所谓递归HTTP溢出是指僵尸计算机的威胁从给定的一个HTTP链接上指向所有网站上的链接,以一种递归的方式出现。这也叫做蜘蛛网般的攻击。

  间谍和恶意软件

  僵尸网络比如臭名昭着的Zombies,通常都会在用户不知情的情形下受利益驱动而监视并报告用户的上网行为。它们也会安装一些工具来收集用户的键盘记录和系统漏洞等信息,并将这些信息兜售给第三方。

  身份盗窃

  僵尸网络还会经常部署一些盗窃用户身份信息、财务信息或者用户电脑上的密码等信息的工具,然后将这些数据出卖或者直接利用获取利润。

  恶意广告软件

  Zombies也会根据用户上网习惯自动下载、安装和弹出一些恶意广告,或者强迫用户通过某些网站浏览一些广告。

  垃圾邮件

  当今的大部分垃圾邮件是由僵尸网络Zombies散发形成的。

  网络钓鱼

  Zombies可以扫描并确定哪些是有漏洞可以被用来攻击的服务器,通常这些服务器都是合法的而且具有重要机密数据(比如PayPal或者银行站点服务器),然后窃取服务器上的密码和其他机密数据。

  恶意bot程序一直以来都在通过更加隐蔽更加狡猾的方式来感染互联网上的主机。在2007年,僵尸网络成为散发垃圾邮件和发动钓鱼攻击的主要方式。在2008年,僵尸网络所发送的垃圾邮件占整个垃圾邮件数量的90%。而在2009年,垃圾邮件则直接通过P2P方式四处传播。

内容导航

  二、新型僵尸网络的特点

  2009年,一些主要的僵尸网络在互联网上都变得更加令人难以琢磨,以更加不可预测的新特点来威胁网络安全。僵尸网络操纵地点也比以前分布更广。它们采用新技术提高僵尸网络的的运行效率和灵活机动性。很多合法网站被僵尸网络侵害,从而影响到一些企业的核心竞争力。

  最新型的僵尸网络攻击往往采用hypervisor技术。hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。hypervisor可以分别控制不同主机上的处理器和系统资源。而每个操作系统都会显示主机的处理器和系统资源,但是却并不会显示主机是否被恶意服务器或者其他主机所控制。

  僵尸网络攻击所采用的另外一种技术就是Fast Flux domains。这种技术是借代理更改IP地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。这种技术利用了一种新的思想:被攻陷的计算机仅仅被用来当作前线的代理,而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的IP地址,真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。最为精巧的地方在域名服务这部分,一些公司为了负载平衡和适应性,会动态地改变域名所对应的IP地址,攻击者借用该技术,也会动态地修改Fast-Flux网络的IP地址。

  而最为众人所知的技术莫过于P2P了。比如,Nugache僵尸网络就是通过广泛使用的IM工具点对点来实现扩充,然后使用加密代码来遥控指挥被感染主机。那也就意味着这种方式更加令人难以探测到。而且僵尸网络也比较倾向使用P2P文件共享来消除自己的踪迹。

  无论是使用Fast Flux、P2P还是hypervisor技术,僵尸网络所使用的攻击类型都比以前变得更加复杂多样。显然,僵尸网络威胁一直在不断地增长,而且所使用的攻击技术越来越先进。这就需要我们使用更加强大的安全防护工具来保护个人和公司网络的安全。

防范新型僵死网络攻击的巧妙技巧

 内容导航

  三、僵尸网络的危害

  随着僵尸网络的不断渗透和扩散,公司必须比以往更加重视和了解边界安全。为此,公司不仅需要了解僵尸网络的功能和运行机制,也需要了解它们所带来的安全威胁。

  对僵尸网络非法入侵做出快速有效的响应,对企业来说可能是一项最为紧迫的挑战。不幸的是,光靠利用基于签名的技术来消除这些安全威胁是远远不够的。使用这种技术往往会花费数小时甚至是数天时间,才能检测到僵尸网络并对其做出响应。僵尸网络最容易吸引各类高科技网络犯罪分子,他们可以借助僵尸网络的温床酝酿和实施各种网络攻击和其他非法活动。

  僵尸网络的所有者会利用僵尸网络的影响力对企业展开有针对性的攻击。除了分布式垃圾邮件和攻击电子邮件数据库之外,他们还会发动分布式拒绝服务攻击。僵尸网络越来越喜欢利用窃取企业财务信息或者商业机密,进而对企业进行敲诈勒索和追逐其他利益活动。 另外,他们还可以利用企业与企业之间的网络互联或者其他同行合作伙伴来扩大攻击。这也就是为什么企业已经成为僵尸网络重点攻击的受害群体之一的重要原因。

相关评论