一个典型僵尸网络浅析

浏览： ℃

字体：大中小

发布时间：2013-12-09 23:24:03

来源：

腾讯安全平台部在工作过程中会检测到各类僵尸网络，本文将分析一典型僵尸网络(以下简称botnet)的架构。

《大话西游》 “反正我要死，你就帮个忙。我听说如果刀子出得快部位准，把人剖开后人不会马上死掉，眼睛还能看得见。你就帮个忙出手快点，把我的心挖出来让我看一看，行不行?”

被攻击是难免的，如果检测得快，我们能发现敌人做了什么，及时控制其蔓延危害网络，亡羊补牢为时未晚。

n 僵尸网络传播

botnet或蠕虫，一个重要的特征就是自动传播能力,这里介绍2类常见的传播方式。

Ø 漏洞传播

为了快速获取大量被控僵尸肉鸡，攻击者会及时更新攻击模块。笔者有一个经验，每次在检测到有新一波攻击手法时，去查查最近公开的漏洞或许就能看到。

同时作为僵尸网络大范围的攻击行为（甚至是漫无目的的），几乎可以预见到的是他的行为和攻击方式100%会被侦察到，所以他们不会使用最新0day。

用1day是权衡两者最经济的方式，并且偏爱能直接执行命令的类型，譬如：struts2 RCE、JBoss DeploymentFileRepositoryWAR Deployment、CVE-2012-1823（PHP-CGIRCE）等。

Ø 自动化攻击工具

漏洞常有，而装有存在漏洞的软件的服务器不常有，但人的弱点总是避免不了的。比如弱口令问题，现如今最古老的弱口令猜解攻击依然存在，ssh/ftp/rdp/telnet等等，加之tomcat管理后台等各种口令。现在越来越快的网速，越来越强的硬件性能使之效率越来越高。

n 僵尸网络架构

接下来讲讲最近在捕获的一个僵尸网络，其功能特点非常具有代表性。以下是其各功能模块分析。

Ø 下载者

负责接收控制者指令，下载更新功能模块。

Ø 传播中继站

僵尸网络制造者为了隐蔽自己也避免整个botnet被捣毁，他不可能将传播源集中到一个地方，所以常常在肉鸡上建立中继站。

在这个案例中，它会搭建一个简易的webserver来实现。

Ø 被控端

作为一个僵尸傀儡最主要就是“听话”，此次案例它采用的是irc通道。这里他预设了2个域名作为server通讯地址，而域名解析到的IP是可随时更换的，ircbot随机连接到任一个server。

此ircbot有多个基础功能，如DDOS、执行命令、自杀、更换server、切换静默状态(Disables all packeting)等。

Ø 肉鸡功能

Ircbot都是那些古老的功能，下面这些常常才是各种不同BotNet特有的。

u 漏洞扫描攻击

本案例中是php CGI的RCE （CVE-2012-1823）

vir:~/tl/aa/tmp # lsChangeLog  Makefile  TODO  bm.h  inst        ipsort    ipsort.sgml  php.c   pnscan.1  pnscan.o     version.c  wsLICENSE    README    bm.c  bm.o  install-sh  ipsort.1  php          pnscan  pnscan.c  pnscan.sgml  version.ovir:~/tl/aa/tmp # head php.c/* Apache Magica by Kingcope *//* gcc apache-magika.c -o apache-magika -lssl *//* This is a code execution bug in the combination of Apache and PHP.On Debian and Ubuntu the vulnerability is present in the default installvir:~/tl/aa/tmp # cat ws#!/bin/bashwhile [ 1 ]; do#       ___A=`echo $(( (($RANDOM<<15)|$RANDOM) % 255 + 0 ))`        ___A=`echo $(( $RANDOM % 255 + 0 ))`        ___B=$(( ((RANDOM<<15)|RANDOM) % 255 + 0 ))        ./pnscan -w"HEAD / HTTP/1.0/r/n/r/n" -r"Server: Apache" -t 1000 $___A.$___B.0.0/16 80        #echo $___A.$___B#sleep 20done

u 挖矿奴隶