網絡僵尸

2023年3月10日發(作者：幼兒園小班)ufeff 調查局在最近的一份報告中指出2010年是僵尸網絡（Botnet）年，全球遭遇攻擊數量中僵尸網絡名列第一。不久前，臺灣當局就破獲了一起國家級的僵尸網絡；該僵尸網絡連接臺灣的主控臺(CNC)，以2萬多個病毒，對30多個國家同時發動拒絕式服務的攻擊。



僵尸網絡（Botnet）到底是怎么發動攻擊的？以下這篇深入剖析文章是由趨勢科技Sr. Dev Manager Arther Wu所撰寫。



Botnet 僵尸網絡：



無聲的主流威脅 恐使電腦使用者成罪犯



你是否曾經想過自己的電腦會是攻擊他人系統的幫兇？或是成為助長地下經濟的一員？2003年在美國奧勒岡州的Clark，利用botnet 僵尸網絡（或稱為傀儡網絡），同時兩萬多臺電腦對ebay發動DDoS攻擊；2005年一月美國一位20歲的年輕人，使用botnet 僵尸網絡癱瘓西雅圖-西北醫學中心的醫療系統，造成約一百五十萬美金的損失，并危害到該院病人的生命。2008年，中國的黑客發動botnet 僵尸網絡大軍，DDoS攻擊著名的巴哈姆特游戲社交網站，要求該網站配合其宣傳，否則將繼續阻斷其服務；美國聯邦調查局指出，全球約有一百多萬臺的電腦遭受bot控制成為botnet 僵尸網絡一員，在不知不覺中黑客已經利用你的電腦為所欲為了。



Bot 的威脅



FBI：Botnet 僵尸網絡受害者超過 1 百萬人



全臺有三分之一電腦遭植入僵尸程序



每10部電腦就有1.1部成為非自愿的僵尸電腦



約7.5成 IT安全人員，沒有意識到僵尸網絡威脅



Gartner估計在本年度末大概會有75%的企業會感染上僵尸病毒



根據Marshal 的報導，有六個Botnet 必須為現今85% 的垃圾郵件與網絡釣魚電子郵件負責。



Bot 怎么植入我的電腦？



如果一臺操作系統和瀏覽器有漏洞的PC訪問了一個含有惡意程序的網站或是博客，可能在不知情的情況下就感染了。尤其是許多人喜歡在網絡上交換影音或音樂文件，但下載同時可能不知不覺就讓電腦中毒了，黑客藉此遠端端控制你的電腦，不只會竊取個人隱私、監控上網活動，電腦還會像僵尸一樣被控制，變成黑客竊取他人電腦資料的幫兇！



根據趨勢科技TrendLabs 統計指出在平均每月至少有超過1 百萬臺 PC 遭僵尸網絡相關惡意程序感染。



在介紹botnet 僵尸網絡行為之前，我們先來了解其歷史；1988年時，Jarkko Oikarinen在芬蘭的歐蘆大學(University of Oulu)設計出一套在線聊天系統，稱之為Internet relay chat (IRC)，隔年Greg Lindahl在IRC架構上撰寫了GM (Game Manager for the Hunt the Wumpus game)，這是第一個IRC bot，當初的bot只是一個方便管理系統的工具，并未有任何惡意的行為，然而現今的bot已經成為

網絡安全的一大隱患，也成為黑客賺錢的有利工具。



一般的Botnet 僵尸網絡組成可分為三部份：



botherder: 下達指令給botnet 僵尸網絡成員的司令官，為黑客本身



botclient: 被遙控的受害者電腦，受害者通常不會察覺自己已經遭受感染，而成為botnet 僵尸網絡的一份子。



Command and control rver (C&C rver): 負責管理控制整個botnet 僵尸網絡的rver，并將botherder的指令傳遞給botclient



其架構如圖1；當一臺電腦被感染而成為botnet 僵尸網絡新成員時，先向連向C&C rver注冊，并等候它的指令，而botherder透過C&C rver得知目前botnet 僵尸網絡的情況，有多少botclient成員?各分布在哪些國家？可進行什么樣的攻擊?如果botherder想要進行DDOS攻擊，只需下達指令給C&C rver，C&C rver再傳送給等待的botclient，此時所有的botclient將攻擊目標電腦，并將執行結果回傳給C&C rver；由此可知，黑客可躲在幕后假借他人之手達到己之所欲。



Botnet僵尸網絡：可怕而無聲的網絡罪犯





圖1 簡易Botnet 僵尸網絡架構圖



Botnet 僵尸網絡種類



Botnet 僵尸網絡可依照其網絡拓樸模式及其傳輸協定來進行分類；標準的botnet 僵尸網絡為星狀拓樸，如圖2，所有的botclient連向同一個C&C rver，botherder只要透過此rver就可控制整個botnet 僵尸網絡，不過這也是其缺點，當rver發生crash時，botherder將失去他辛苦建立的botnet 僵尸網絡。



Botnet僵尸網絡：可怕而無聲的網絡罪犯





圖2 Botnet 僵尸網絡星狀拓樸



為了解決星狀Botnet 僵尸網絡的問題，因此有了多重rver拓樸，如圖3，當其中一臺rver發生錯誤時，其他的rver將取代它，使botnet 僵尸網絡能正常運作，這種拓樸提高了botnet 僵尸網絡的容錯能力，相對的，它需要更高深的設計技巧，因為rver之間要能彼此溝通，并隨時可取代其他rver進行工作。



Botnet僵尸網絡：可怕而無聲的網絡罪犯





圖3 Botnet 僵尸網絡多重rver拓樸



圖4所描繪的為階層式botnet 僵尸網絡，它提供極高的可擴充性，不需要任何的C&C rver，所以也就無須擔心rver crash造成的影響，雖然當一個高階層的botclient斷線，會導致一部分的botclients失聯，但是至少不會讓整個botnet 僵尸網絡失去作用。



Botnet僵尸網絡：可怕而無聲的網絡罪犯





圖4 Botnet 僵尸網絡階層式拓樸



擁有最佳強健度的莫過于botnet 僵尸網絡隨機式拓樸(圖5)，botclient彼此相連，沒有中控rver，任何一個botclient失去聯系，也不會影響到其他的botclient，botherder可下達指令給botnet 僵尸網絡中的任一個botclient，再由它廣播給其他的botclients，但其設計難度也是較高的，botherder

必須確認每一個botclient都可以收到指令，而且只會收到一次，避免重復執行。



Botnet僵尸網絡：可怕而無聲的網絡罪犯





圖5 Botnet 僵尸網絡隨機式拓樸



接下來我們來談談botnet 僵尸網絡常用的一些傳輸協定；botnet 僵尸網絡最常用的傳輸協定為IRC，它提供了在線聊天的機制，bot連上C&C rver，并加入一個botherder已經預先開好的聊天頻道，然后等著botherder在頻道上下達指令，在執行完指令后，bot再將結果回傳到頻道上；IRC botnet 僵尸網絡之所以盛行的關系，除了有完整的C&C rver架構外，還因為可在網絡上找到其source code，黑客只要稍加修改，即可成為一個新的bot，例如：GTBot、Gaobot。也因為IRC bot的盛行，所以有相當多公司的防火墻已經封鎖此種傳輸協定，為了突破防火墻，許多bot改采HTTP，并且使用pull command的作法，因為大部分的防火墻都不擋outgoing的封包，所以由bot使用URLs跟botherder進行溝通，并由其中的query string來取得指令。上面所介紹的傳輸方式都需有中控rver，如果bot采用Peer-to-Peer協定，則可形成先前所提及的隨機式拓樸，不用擔心C&C rver crash；那么bot如何利用P2P來進行溝通呢?通常P2P bot都是使用文件夾分享的機制，bot下載特定文件夾，文件夾內容為botherder的指令，不過P2P bot也有其天生的缺點，因為它沒有中控rver，無法在同一時間將指令下達給所有的bots，所以不能達到要進行DDoS攻擊的時效性要求。Botnet 僵尸網絡所采用的傳輸模式之多，甚至連MSN也”雀屏中選”，MSN botnet 僵尸網絡利用微軟的MSN rver充當其C&C rver，bot模仿成真正MSN程序隱藏在受害者機器上，而botherder早就預先為它注冊好一個MSN帳號，并加入其好友名單中，所以便可隨時直接對其下指令，這種方式的好處是無須管理其C&C rver (微軟會自行管理)，并可躲過偵測軟件的監控，但缺點為微軟只要檢查其MSN rver，即可發現異常，并可進行控管。



Botnet 僵尸網絡會造成什么危害呢?



以下我們將介紹botnet 僵尸網絡所造成的威脅；



擴張地盤：對botherder而言，如果botnet 僵尸網絡愈大，代表其攻擊效果越顯著，且在地下經濟中，出租botnet 僵尸網絡是以bot個數來計價，所以bot的首要任務就是感染其他電腦，擴張其版圖。



DDoS攻擊：Botnet 僵尸網絡最常被使用的攻擊模式就是DDoS攻擊，來進行對敵對公司的報復行動，或是勒索一般企業，其攻擊技巧大都為TCP Syn flood、UDP flood或Smurf attack。



安裝廣告軟件：廣告主通常是依照其廣告軟件安裝的電腦數量，來給予散布者相對應的金錢，所以bot會在受感染的機器上安裝廣告軟件，并盡可能的安裝到其他

電腦中。



散布垃圾郵寄及釣魚郵件：現在大部分的電子郵件系統都可偵測可疑的郵件IP來源，并加以封鎖，但是現今的垃圾郵件或是釣魚郵件是由botnet 僵尸網絡中的bot發出，每一臺受bot感染的機器都是spammer，令mail rver防不勝防。



非法儲存或偷取智慧財產：偷取電影、游戲或音樂…等等智慧財產也是bot擅長手段，botherder甚至會利用botnet 僵尸網絡建立一個網絡儲存空間，將偷來的文件夾，儲存在受bot感染的電腦中，botherder無需花錢購買硬體儲存資料，也不用擔心被智財權的擁有者提告，所以當你的電腦中多出一些莫名的電影或是音樂時，不要高興太早，先檢查自己是否受到bot的感染。



破解密碼：當黑客想要破解某個密碼時，電腦常需要做到長時間大量的運算，如果采取分散式運算，將可以大大縮短破解時間，因此botherder會將運算工作分給botnet 僵尸網絡中的bots來進行。



點擊詐欺：網絡廣告的收費方式通常是依照被點擊的次數來向廣告主收錢，因此botmet會針對特定的廣告進行點擊攻勢，為botherder帶來獲利。



偵測Botnet 僵尸網絡的工具



看了以上的介紹，你是否擔心自己也是botnet 僵尸網絡的成員呢？沒關系，使用趨勢科技專門的偵測bot的工具，就可以讓它無所遁形。



結論



Botnet 僵尸網絡一直以來都是黑客賺錢的有利工具，所以會他們想盡辦法讓自己的botnet 僵尸網絡難以偵測，例如使用HTTPS傳輸，減少傳送內容被過濾的可能性，使用洋蔥路由(onion routing)或是fast-flux networks來加強其隱匿性，避免其C&C rver被鎖定；botherder彼此間甚至是互為敵對，當你的電腦被某一個bot感染時，它也會嘗試去移除其他的bot，藉由打擊敵人來提高自己的獲利；因為botnet 僵尸網絡的變化多端，利用現成的技術來增加其偵測難度，所以botnet 僵尸網絡的偵測技術將是網絡安全的一大挑戰。