扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
端口 |
服务 |
42 |
WINS (Host Name Server) |
80 |
HTTP (IIS or Apache vulnerability) |
135 |
RPC (Remote Procedure Call) |
137 |
NetBIOS Name Service |
139 |
NetBIOS Session Service |
445 |
Microsoft–DS–Service |
1025 |
Windows Messenger |
1433 |
Microsoft–SQL–Server |
2745 |
Bagle worm backdoor |
3127 |
MyDoom worm backdoor |
3306 |
MySQL UDF (User Definable Functions) |
5000 |
UPnP (Universal Plug and Play) |
表一 与漏洞服务相关的端口
在控制步骤主要是指僵尸在指定的主机内生根之后一些事情。为了突破Windows,它会升级注册表,一般是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
僵尸网络安装后的第一件事情就是与IRC服务器取得联系然后在密码的帮助下成功进入控制渠道。IRC上的昵称是随机产生的。僵尸计算机然后就会接受来自于主机应用程序的命令。攻击者必须使用密码链接僵尸网络。这是必须的,因此外人不可能使用这一僵尸网络。
僵尸网络
僵尸网络不仅提供控制数百台僵尸计算机的方法,还会提供相应的技术来隐藏其真实身份。这样就使得攻击来源模糊化难以侦查。对于我们来说很幸运的是,僵尸网络有其自身无法避免的弱点,就是其产生的异常流量很容易就被发现。这样,IRC的管理员就可以将僵尸网络拒之门外并且对相关用户做出通报。
面对形势的变化,攻击者不得不提高他们的控制和命令技巧,这样就出现了僵尸网络萃取。僵尸使用动态的映射用户名配置到不同的主机上。藉此,攻击者可以轻易的将僵尸配置到新的服务器上,保证即时在被发现之后还能够运转自如。一些动态的域名服务器就是为此应运而生的,诸如dyndns.com,no–ip.com.
动态域名服务器
动态域名服务器(RFC 2136)将域名链接到一个动态的IP地址上。通过调制解调器,ADSL以及光纤上网的用户根本就没有一个固定的域名。一旦用户联网,英特网服务提供商就会从一个IP库中随意分配一个未经使用的IP地址。当然,这一地址只会在那台计算机的上网的那段时间中保留。
这一机制使ISP们最大限度的利用现有的IP库,但是这样损害了那些需要静态域名的用户的利益。为了解决这一问题,动态域名系统应运而生。ISP们实现此目的的一个手段是使用一个精心设计的程序,就是每当用户的IP地址转换的时候,它就会对DNS数据库做出标记。
为了隐藏这一行为,IRC渠道设计的时候就限制了访问并且隐藏行为。典型的僵尸网络渠道的IRC模式有以下:+k(访问时需要密码),+s(渠道不会出现在公众网络渠道里),+u(只有操作员在用户名单里可见),+m(只有使用+v语态地位的用户才可以进入这一渠道)。许多专业的黑客使用的是特制的IRC服务器加密所有在通讯中的相关交流。还有一个趋势就是他们使用各种个性化的IRC服务器软件,可以用来窃听非标准端口或是使用改进版的通讯协议,这样普通的IRC客户机就不能进入这一网络。
实践中的命令与控制——Agobot
我们先来看一下一个实际的攻击场景,这样我们就可以更清晰的了解僵尸网络的命令与控制操作的相关过程。这一任务包括两台计算机。第一台计算机在一台基于UnrealIRCd 3.2.3上使用的IRC服务器,还有两台基于Vmware工作站的虚拟的Windows XP SP1机器(都存在潜在的感染风险)。第二台由僵尸牧者操控僵尸网络,实用的是Irssi,一个原原本本的IRC客户机。
为了使这一发工程学更加困难,Agobot执行一些常规的反制措施,包括SoftICE or OllyDbg调试器的使用,并且针对虚拟的Vmware和Virtual PC也做出了应对措施。因此就有必要劫持源代码绕开Vmware的保护,在僵尸被安装到我们虚拟的系统之前。
配置
第一步就是使用简单的图形操作界面配置僵尸(见下图)。输入的信息包括名称和IRC服务器的端口,通道名称,拥有密码的管理员的清单,最后,僵尸将要侵袭的文件名和目录。一些插件也需要激活,诸如网络嗅探支持还有多形态引擎。这一步骤的结果就是config.h文件夹,这是僵尸网络编辑的根本。
Agobot配置操作界面
命令与控制
一旦僵尸被编辑成功,这两台测试系统就被感染了。主机已经连接上IRC服务器然后就会进入这一渠道为了能够对僵尸做出操作命令行。
主服务器和通道链接
为了对僵尸进行有效控制,授权是必须的。这一步很简单,发一个命令到通道中即可:。login FaDe dune
用户和密码授权
然后第一个僵尸被要求在被感染的计算机上运行一系列的进程:/msg FakeBot–wszyzc .pctrl.list
来自于僵尸计算机对主机的回应
然后第二台僵尸被要求寻找系统信息并且cdkeys所有的安全程序:
/msg FakeBot2–emcdnj .bot.sysinfo
/msg FakeBot2–emcdnj .harvest.cdkeys
来自于第二台僵尸计算机对主机的回应
在这一例子中,我们使用了一个很简单的功能,但是Agobot提供了很丰富的命令和功能,下表做了一些列举:
命令 |
描述 |
command.list |
List of all the available commands |
bot.dns |
Resolves an IP/hostname |
bot.execute |
Runs an .exe file on a remote computer |
bot.open |
打开远程计算机上的文件 |
bot.command |
使用系统运行命令 |
irc.server |
连接到IRC服务器 |
irc.join |
进入特定渠道 |
irc.privmsg |
用户发送私人信息 |
http.execute |
通过HTTP下载和执行文件 |
ftp.execute |
通过FTP下载和执行文件 |
ddos.udpflood |
开始UDP洪量攻击 |
ddos.synflood |
开始Syn洪量攻击 |
ddos.phaticmp |
开始PHATicmp洪量攻击 |
redirect.http |
开始HTTP代理 |
redirect.socks |
开启SOCKS4代理 |
pctrl.list |
进程清单 |
pctrl.kill |
终止程序 |
表二 Agobot的一些命令
如何保护你的计算机
以下,我们将阐述如何从用户和管理员两个维度有效的防止僵尸的感染及其攻击
PC用户的防御策略
前面提到僵尸的感染主要是通过蠕虫,它们游荡在网络之中寻找有漏洞的机器。因此第一步就是实时升级你的系统,下载补丁和系统补丁,不仅仅是你的操作系统还有你所有与网络相联系的应用程序。
自动升级是一个不错的主意。还有要注意不要打开可疑邮件。
不要浏览支持ActiveX和JavaScript的脚本语言(至少要控制其使用)。
最根本的就是要使用反病毒和反木马软件并且实时更新。尽管如此,许多僵尸仍然会突破杀毒软件的阻截,因此需要安装个人防火墙,特别是电脑一天24小时都开着的话。
僵尸网络出现的重要标志就是网络连接和系统下载。下面是一个简单有效的探测可疑链接的方法:C:/>netstat –an
在感染系统中的Netstat
Netstat
Netstat对于Windows和Unix操作系统都很有效,它的主要功能就是控制活跃端口,Netstat检查TCP和UDP端口并且提供关于网络活动的详细信息。UNIX系统netstat显示所有的流量信息。同样哈有关于出流量的选择,
一些可能的连接状态:
。 ESTABLISHED –所有的主机均连接
。 CLOSING 远程主机正关闭连接
。 LISTENING –主机进入监听连接
。 SYN_RCVD –远程主机请求连接
。 SYN_SENT –主机开始新的连接
。 LAST_ACK –关闭连接之前发送报告
。 TIMED_WAIT, CLOSE_WAIT –远程主机终止连接
。 FIN_WAIT 1 –客户机终止连接
。 FIN_WAIT 2 –两台主机终止连接
观察ESTABLISHED连接特别是6000–7000之间的TCP端口(通常是6667)。如果你发现你的计算机受到威胁,断开网络,清除系统,重启,再检查一遍。
管理员防御策略
管理员应该实时关注最新漏洞信息,多读一些网络安全信息。可以订阅Bugtraq,这个很不错。还有就是要教育用户以及制定相关安全政策。
管理员很有必要学一下与入侵检测系统,防火墙,电子邮件服务器还有代理服务器生成的日志。这有助于查明不正常流量,很可能就是僵尸网络现身的标志。一旦注意到一场流量,使用嗅探器侦查来确认子网罗以及产生这一流量的计算机。上述建议你会认为理所当然,但是却很容易被忽略。
还有一点就是使用先进的手段研究和侦查威胁。其中一个技术就是蜜罐技术。蜜罐就是专门设置引诱威胁的计算机,其主要功用就是搜集威胁的来源然后管理员就会找出解决问题的办法。
最后,姑且不论我们的工具和建议,最有效的防御僵尸网络的方法就是用户本身及其警觉性。其它一切解决方案都只是外部因素。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者