從世界上第一個(gè)蠕蟲病毒————莫里斯————因其巨大的系統(tǒng)破壞力和傳播速度被人們所關(guān)注，便意味著在惡意代碼斗爭的戰(zhàn)場上傳播速度勢必成為新的衍變方式。而互聯(lián)網(wǎng)自上世紀(jì)90年代初期開始迅猛發(fā)展更是為這種惡意代碼的快速傳播提供了新的媒介和渠道，沒有人料到另外一種結(jié)合病毒、木馬、蠕蟲技術(shù)為一體的新的信息安全威脅方式————僵尸網(wǎng)絡(luò)————會(huì)如此令世界諸多信息安全專家所頭疼，以至于直到今天，在針對僵尸網(wǎng)絡(luò)的行動(dòng)中，處于正義一方的白帽子們?nèi)匀粺o法信心滿滿地占得上風(fēng)。

創(chuàng)造和管理僵尸網(wǎng)絡(luò)的軟件使得僵尸網(wǎng)絡(luò)的危害程度遠(yuǎn)遠(yuǎn)高于以往惡意腳本那一代，它不僅僅是病毒，更是病毒的病毒，它的危害性更集傳統(tǒng)的病毒、木馬、蠕蟲為一體，既可以進(jìn)行常規(guī)的系統(tǒng)駐留、信息竊取、遠(yuǎn)程操控，也具備蠕蟲的網(wǎng)絡(luò)傳播特性。如果將病毒、木馬、間諜軟件、后門、蠕蟲等等形容為《植物大戰(zhàn)僵尸》中的各色裝備的僵尸，那僵尸網(wǎng)絡(luò)用“一大波僵尸”來形容再合適不過。

一、僵尸網(wǎng)絡(luò)的特點(diǎn)

僵尸網(wǎng)絡(luò)的特點(diǎn)在于：能夠在僵尸客戶端上執(zhí)行所設(shè)定的操作而無需僵尸牧人(幕后控制者/僵尸網(wǎng)絡(luò)所有者)直接登陸該客戶端;在僵尸牧人很少甚至不插手的情況下，僵尸客戶端能夠協(xié)同合作并針對同一任務(wù)或目標(biāo)行動(dòng)。事實(shí)上，僵尸網(wǎng)絡(luò)與蠕蟲病毒唯一的區(qū)別就在于僵尸網(wǎng)絡(luò)擁有統(tǒng)一的高度可控的系統(tǒng)。

??

典型的僵尸網(wǎng)絡(luò)由僵尸服務(wù)器(通常是一臺(tái)IRC服務(wù)器)和一個(gè)或更多的僵尸客戶端組成。有成百上千的僵尸客戶端組成的僵尸網(wǎng)絡(luò)也僅僅可以被稱作為小型僵尸網(wǎng)絡(luò)。由于僵尸客戶端的分布不局限于某個(gè)國家或地區(qū)，因此對于追蹤和查找幕后的僵尸牧人會(huì)難上加難，很可能在追查過程中會(huì)涉及到國際之間的協(xié)同調(diào)查及合作，相比遭受損失的企業(yè)/機(jī)構(gòu)或個(gè)人而言，對僵尸網(wǎng)絡(luò)的調(diào)查取證實(shí)在過于繁瑣，以至于很多情況下不得不終止調(diào)查。#p#

二、僵尸網(wǎng)絡(luò)的構(gòu)成

僵尸網(wǎng)絡(luò)的構(gòu)成是模塊化的，大致可分為三個(gè)模塊：掃描模塊、駐留模塊、功能模塊，其中掃描模塊用來掃描和傳播僵尸網(wǎng)絡(luò)病毒，駐留模塊的目的在于能夠隱匿駐留在目標(biāo)系統(tǒng)中，功能模塊則在駐留模塊駐留之后執(zhí)行僵尸牧人所設(shè)定的指令。從模塊構(gòu)成看即是病毒、木馬的模塊構(gòu)成結(jié)合。 

上圖是典型的僵尸網(wǎng)絡(luò)客戶端的生命周期(不同僵尸網(wǎng)絡(luò)可能會(huì)有流程上的區(qū)別)，其始于發(fā)現(xiàn)和利用漏洞：或通過社工手段，或通過系統(tǒng)漏洞，或通過殘留木馬后門，或通過密碼猜解/破解。而在與C&C(命令與控制)通信告之新的客戶端上線時(shí)，如今的僵尸網(wǎng)絡(luò)已出現(xiàn)各種加密通信信道，以避免IDS、防火墻或其他方式的網(wǎng)絡(luò)偵聽，與C&C通信的目的在于更新可能存在的客戶端模塊、C&C端的客戶端名稱列表、IP地址或信道名稱，正如木馬攻擊時(shí)服務(wù)器端上線時(shí)通知客戶端一般。C&C是僵尸客戶端與僵尸牧人的通信中轉(zhuǎn)：僵尸牧人對C&C發(fā)送指令，C&C對僵尸客戶端發(fā)送指令。

模塊化的僵尸病毒使得功能模塊可以根據(jù)僵尸牧人的需要進(jìn)行隨時(shí)變更或定制，比如加入比特幣挖礦功能。因此使得僵尸病毒的模塊或組件在面對殺毒軟件時(shí)可能無法完全被查殺，而一旦在查殺后仍然有組件殘留，便很有可能再次感染僵尸病毒，所以在企業(yè)環(huán)境中遇到僵尸病毒感染通常是在斷網(wǎng)之后用干凈的系統(tǒng)鏡像進(jìn)行還原。#p#

三、僵尸網(wǎng)絡(luò)的危害

看似如此強(qiáng)大和難纏的僵尸網(wǎng)絡(luò)有哪些不同于傳統(tǒng)病毒、木馬、蠕蟲的危害呢?根據(jù)功能模塊的不同，僵尸網(wǎng)絡(luò)的危害包括但不限于：

1、感染其他系統(tǒng)成為新的僵尸客戶端;

2、DDos攻擊，利用大量的僵尸客戶端對同一系統(tǒng)/設(shè)備發(fā)起攻擊;

3、廣告點(diǎn)擊欺騙，比如欺騙點(diǎn)Google公司AdSense的廣告賺取費(fèi)用;

4、發(fā)送垃圾郵件及網(wǎng)絡(luò)釣魚;

5、存儲(chǔ)和分配非法(盜版)知識產(chǎn)權(quán)資料;

6、利用DDos攻擊進(jìn)行勒索;

7、根據(jù)已感染的僵尸客戶端進(jìn)行數(shù)據(jù)挖掘(或包含鍵盤記錄功能)，獲取客戶端系統(tǒng)有利用價(jià)值的資料;

8、利用僵尸客戶端進(jìn)行比特幣挖礦。

下圖是筆者寫作該文之前的24小時(shí)里全球的C&C分布圖(來自Shadowserver基金會(huì))。 

 #p#

四、僵尸網(wǎng)絡(luò)C&C的選擇

世界上第一個(gè)僵尸網(wǎng)絡(luò)便是利用IRC服務(wù)器作為C&C，直至今天依然有大量僵尸網(wǎng)絡(luò)采用IRC服務(wù)器作為C&C，究其原因，在于IRC頻道在簡易性、穩(wěn)定性、管理方便的優(yōu)勢，但其缺點(diǎn)亦顯而易見，一旦IRC服務(wù)器或頻道被發(fā)現(xiàn)，便意味著僵尸網(wǎng)絡(luò)的終結(jié)————即僵尸牧人無法再與僵尸客戶端取得聯(lián)系，此外IRC信道中的數(shù)據(jù)很容易遭到竊聽(盡管僵尸牧人可以通過TOR作為附加的安全保障手段或?qū)RC信道命令采取各種加密措施)。但如今的C&C手段絕非僅僅停留在IRC服務(wù)器層面，它還包括以下幾種手段：

1、利用域名解析方式將域名作為C&C地址;

2、利用基于Web系統(tǒng)的服務(wù)器作為C&C地址并作為指令交互的方式;

3、使用P2P網(wǎng)絡(luò)分散管理僵尸客戶端及C&C;

4、基于即時(shí)消息工具的僵尸網(wǎng)絡(luò);

5、基于FTP的僵尸網(wǎng)絡(luò)C&C。

以上方法中，基于Web系統(tǒng)的C&C是另外一種典型的替換機(jī)制。由于HTTP是無狀態(tài)協(xié)議，所以僵尸牧人無法通過HTTP向僵尸客戶端發(fā)送指令，但僵尸客戶端可以定期訪問HTTP地址以檢查是否有新的指令，這種方式的優(yōu)勢在于其通信連接不會(huì)被防火墻所阻斷，且嗅探器也無法在流量監(jiān)測中發(fā)現(xiàn)任何有關(guān)于僵尸網(wǎng)絡(luò)價(jià)值的信息。

此外，如今的僵尸網(wǎng)絡(luò)已經(jīng)不再是一臺(tái)C&C控制成千上萬臺(tái)僵尸客戶端，而是像企業(yè)管理一般進(jìn)行小規(guī)模進(jìn)行管理，如一個(gè)僵尸網(wǎng)絡(luò)有20臺(tái)C&C，每臺(tái)C&C控制數(shù)百臺(tái)僵尸客戶端。

五、僵尸網(wǎng)絡(luò)的檢測

對于企業(yè)或機(jī)構(gòu)來說，檢測僵尸網(wǎng)絡(luò)是否已感染內(nèi)網(wǎng)系統(tǒng)可以通過網(wǎng)絡(luò)和系統(tǒng)兩個(gè)層面進(jìn)行檢測，網(wǎng)絡(luò)層面包括流量檢測、防火墻/NIDS、日志分析，系統(tǒng)層面包括搭建蜜罐和日志分析。

由于僵尸網(wǎng)絡(luò)客戶端在與C&C進(jìn)行指令交互或進(jìn)行功能執(zhí)行時(shí)往往伴隨著急劇增大的網(wǎng)絡(luò)流量，因此通過諸如tcpdump、Wireshark等嗅探器進(jìn)行針對性的流量監(jiān)測，通常驟升的網(wǎng)絡(luò)流量都是不合理的。在遇到過大網(wǎng)絡(luò)流量所導(dǎo)致的路由器CPU無法承受時(shí)，可通過流量采樣來進(jìn)行進(jìn)一步的分析，當(dāng)然，如果能夠從網(wǎng)絡(luò)流量中初步分析出有可疑的主機(jī)時(shí)即可針對性的進(jìn)行流量分析，以進(jìn)一步檢測可疑主機(jī)的流量內(nèi)容。

以IRC服務(wù)器作為C&C為例，常用的IRC協(xié)議消息如下：

1、JOINS：IRC客戶端用來登陸到IRC服務(wù)器信道的消息;

2、PINGS：IRC服務(wù)器發(fā)送給IRC客戶端的信息，以判斷客戶端是否對該消息還有響應(yīng);

3、PONGS：IRC客戶端返回給服務(wù)器的消息，以說明客戶端仍然在線或尚未離線、登出;

4、PRIVMSG：包含信道名字和信道數(shù)據(jù)的消息。

在網(wǎng)絡(luò)流量監(jiān)測中，若存在以IRC協(xié)議發(fā)送/接收的數(shù)據(jù)包，且以上四種消息數(shù)據(jù)比較中，相比JOINS消息，PRIVMSG數(shù)據(jù)很少或幾乎不存在，則說明所監(jiān)測的流量及其相關(guān)的主機(jī)是可疑的，很可能是僵尸網(wǎng)絡(luò)。

對于使用IRC服務(wù)器作為C&C的僵尸網(wǎng)絡(luò)來說，默認(rèn)的IRC服務(wù)器端口6667便成為防火墻/NIDS所重點(diǎn)關(guān)注的端口，此外還包括常見的漏洞端口掃描、DDos流量等。但NIDS(如Snort)的缺陷也導(dǎo)致其無法完整和全面的進(jìn)行檢測，因其僅可以對于已知的攻擊類型進(jìn)行檢測。

對于系統(tǒng)自身而言，防病毒軟件產(chǎn)品是必不可少的，即使在面對部分僵尸病毒的攻擊下并不顯得那么給力!相比之下，蜜罐的作用則在于探究攻擊者的攻擊方式和行為方式，與防火墻、IDS、防病毒產(chǎn)品日志相結(jié)合進(jìn)一步探究僵尸病毒的行為特性及攻擊痕跡，以便于后續(xù)的技術(shù)取證。#p#

六、ZeroAccess的檢測與預(yù)防

ZeroAccess是來自于一個(gè)僵尸網(wǎng)絡(luò)中木馬程序，受感染的主機(jī)會(huì)執(zhí)行比特幣挖礦操作以及點(diǎn)擊欺騙，截至本月(12月)月初，受該木馬感染的主機(jī)大約在一百萬到九百萬臺(tái)左右(僵尸網(wǎng)絡(luò)中的僵尸客戶端相當(dāng)難以統(tǒng)計(jì))，該木馬每天為僵尸牧人創(chuàng)造的“收益”大約是10萬美金。在微軟、歐盟網(wǎng)絡(luò)犯罪中心以及FBI的通力協(xié)作下，勉強(qiáng)將該僵尸網(wǎng)絡(luò)一網(wǎng)打盡(傳統(tǒng)的針對僵尸網(wǎng)絡(luò)的行動(dòng)被稱為“斬首行動(dòng)”，即偵測、發(fā)現(xiàn)和截?cái)郈&C。近些年的僵尸網(wǎng)絡(luò)已具備多C&C協(xié)同、P2P網(wǎng)絡(luò)以及基于DNS解析的C&C，使得“斬首行動(dòng)”難見成效)。之所以說“勉強(qiáng)”，是因微軟對外宣稱此次聯(lián)合行動(dòng)是(部分)成功的，而實(shí)際上是一次完全失敗的行動(dòng)。

ZeroAccess的僵尸網(wǎng)絡(luò)采用的是基于P2P網(wǎng)絡(luò)的C&C，不幸的是，微軟僅僅偵測和掌控了其中大約40%的C&C。根據(jù)此次行動(dòng)的斬獲，所總結(jié)出來的檢測ZeroAccess的方式如下：

1、僵尸網(wǎng)絡(luò)的關(guān)鍵之處在于僵尸客戶端必須處于聯(lián)網(wǎng)狀態(tài)，離網(wǎng)狀態(tài)下的僵尸客戶端是不具有任何威脅的(即便它已有root權(quán)限又怎樣)。找到內(nèi)網(wǎng)對外連接的網(wǎng)線與交換機(jī)的接口，并確保對外的流量未經(jīng)任何處理和干擾。

2、在交換機(jī)上做鏡像端口，將對外的網(wǎng)絡(luò)流量dump到干凈系統(tǒng)上進(jìn)行流量分析。ZeroAccess使用的端口是16464、16465、16470，可能還有16471，這些端口取決于ZeoAccess是32位還是64位。由于僵尸牧人可以隨時(shí)更新模塊并更換對外連接端口，所以以上端口也僅僅是暫時(shí)“見效”。將以上端口的流量做鏡像并導(dǎo)入到某一固定端口。

3、使用一臺(tái)安裝有Wireshark的筆記本將上一步的固定端口導(dǎo)入的流量做流量分析，在正常情況下可以通過Wireshark看到未經(jīng)過濾的流量信息。針對ZeroAccess的連接端口做流量過濾，或者使用Wireshark的命令“dst portrange 16464-16471”，經(jīng)過濾的流量中可能因包含有多余的端口流量而得到假陽性的結(jié)果。

4、如果內(nèi)網(wǎng)存在已被感染的主機(jī)，則耐心的等待可換來“可觀”的流量成果：一臺(tái)內(nèi)網(wǎng)主機(jī)正與外網(wǎng)不同且無重復(fù)(或者很少有重復(fù))的IP地址進(jìn)行連接，這正是ZeroAccess僵尸網(wǎng)絡(luò)的特征。根據(jù)賽門鐵克的資料，這些外網(wǎng)IP地址包含：

69.176.14.76

76.28.112.31

24.127.157.117

117.205.13.113

200.59.7.216

113.193.49.54

值得注意的是，ZeroAccess僵尸網(wǎng)絡(luò)的IP地址在頻繁的更換。以上IP列表可以證明內(nèi)網(wǎng)已受感染，但缺失其中一條IP并不能證明已受攻擊。

5、根據(jù)以上流量監(jiān)測結(jié)果，對內(nèi)網(wǎng)中受感染的主機(jī)進(jìn)行網(wǎng)絡(luò)隔斷，并通過好一點(diǎn)的反病毒產(chǎn)品進(jìn)行病毒檢測。

對于預(yù)防或阻止ZeroAccess感染的建議如下：

遵從標(biāo)準(zhǔn)的安全最佳實(shí)踐以避免遭受ZeroAccess感染;

即時(shí)升級系統(tǒng)及安全產(chǎn)品補(bǔ)丁;

安裝代理服務(wù)器且僅允許特定的端口訪問互聯(lián)網(wǎng);

安裝IDS/IPS;

限制對外開發(fā)的端口，僅允許必要的服務(wù)端口保持開放;

保存所有經(jīng)過防火墻的日志記錄。

漏網(wǎng)之余

除非僵尸網(wǎng)絡(luò)的規(guī)模相當(dāng)龐大，在如今的互聯(lián)網(wǎng)世界很難達(dá)到上文中所描述的威脅程度，而僵尸網(wǎng)絡(luò)的特性注定了它會(huì)不斷的膨脹和擴(kuò)張，這是僵尸牧人的基本目的所在。一個(gè)擁有6萬到8萬臺(tái)僵尸客戶端的僵尸網(wǎng)絡(luò)由于一個(gè)私有的城市人口，其能力和威脅是令人嘆為觀止的。所以應(yīng)對僵尸網(wǎng)絡(luò)最好的辦法是阻止其規(guī)模的擴(kuò)大，即阻止惡意軟件的傳播和入侵?jǐn)?shù)量可觀系統(tǒng)。