關于冰盾 | 使用條款 | 網站地圖
 
互聯網安全分析:Botnet,北京,中國,美國
互聯網安全分析:Botnet,北京,中國,美國
作者:冰盾防火墻 網站:www.1604100.live 日期:2009-08-04
 

一    前言- 觸目驚心的一組數據
剛剛看了Symantec 賽門鐵克公司三月份最新發布的互聯網安全報告。有這么一組數據令人震驚。[1]
北京市是全球感染Bot計算機數目最多的城市,占總感染量的5%
中國是全球感染Bot計算機數目最多的國家或地區,占總感染量的26%
美國是全球擁有Botnet控制中心最多的國家或地區,占40%。
這組數據的背后的含義是什么?要回答這一點,我們先看看什么是Bot?什么是Botnet?
二    Bot/Botnet
目前對Botnet沒有特別權威的翻譯。有許多翻譯為“僵尸網絡”,實際上并不完全準確。“僵尸網絡”實際上是“zombie network”的翻譯,它是比喻惡意Botnet的表現形式。還有的翻譯為“波特網”或“機器人網絡”。在本文中,為了避免混淆,將直接使用Bot和Botnet。
Bot,這個詞是從“Robot”這個詞變化來的,用來指在互聯網上,可以自動執行特定任務的軟件程序。[2] 這些特定的任務可以是在網絡上查詢特定信息,報告天氣,參加網絡競拍等等。
但是,對于一個惡意的Bot來說,執行的任務就會變成:
散布病毒,間諜軟件或廣告軟件
發送垃圾郵件
網絡訪問代理
執行DDOS攻擊
竊取敏感信息,如銀行密碼
自動撥號
等等
本文以下的Bot均指的是惡意的Bot。
Botnet,顧名思義,就是由若干Bot(感染Bot的計算機)構成的網絡。在網絡中,存在一個控制中心(Command and control center)。每臺感染Bot的計算機一般通過Internet Relay Chat(IRC)方式與控制中心建立連接,接受來自控制中心的指令。這樣,攻擊者就可以通過控制中心,集中管理Botnet內的所有機器。也就是說,一臺感染Bot的計算機,它的一舉一動都可以被遠程監控和控制,如同僵尸(zombie)一般。這就是Zombie Network這個詞的來歷。
推動Botnet發展的因素之一就是實在的經濟利益,錢。一個Botnet的控制者,可以和廣告軟件的發布者合作,以增加相應站點的點擊率;可以和垃圾郵件的發布者合作,一次發布成千上萬封的垃圾郵件;或者是DDOS攻擊,如網絡勒索。就像強收保護費一樣。如果一個中小型網站不付錢的話,就讓Botnet控制的所有機器都惡意訪問這個網站,以打亂其正常的商務活動。
Bot攻擊實例分析
我們來看看一個典型的Bot是如何攻擊普通用戶的。Rbot是目前最為流行的Bot攻擊程序之一。它是如何運作的?
第一步:遠程攻擊存在安全漏洞的機器

常見被Rbot利用的安全漏洞有:
DCOM RPC 安全漏洞(Microsoft安全通告MS03-026)
UPnP安全漏洞(Microsoft安全通告MS01-059)
LSASS安全漏洞(Microsoft安全通告MS04-011)
等等
另外一種常見的攻擊方式是通過社會工程,例如作為一個電子郵件的附件發送給用戶,或者通過IM讓用戶下載。
第二步,加入Botnet
一旦Rbot開始運行,它就會有以下幾個動作:
將自身加入到系統自動運行的程序中。例如,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,創建相應的注冊表信息,這樣每次系統啟動,它都會自動被執行。
關閉某些特定程序,如防火墻,系統自動更新。
連接IRC服務器,即Botnet的控制中心。
掃描其他機器,以測試是否可以被成功攻擊。
第三步,接受來自Botnet控制中心的指令
一個Rbot可以接受的控制指令。
更新Rbot版本
竊取密碼
訪問特定http站點
屏幕截圖
報告系統信息
開啟shell
執行特定程序
等等
三    數據背后的含義
回顧一下Symantec報告中的數據。
北京市是全球感染Bot計算機數目最多的城市,占據總感染量的5%。中國是全球感染Bot計算機數目最多的國家或地區,占據總感染量的26%。
作為對比,美國是全球感染Bot計算機數目的第二位,占據總感染量的14%。
根據報告,Symantec 全球檢測到6049594臺感染Bot的計算機。那么,北京就有三十萬左右,中國就有一百五十萬臺左右感染Bot的計算機。
另一方面,我們知道,感染了Bot的計算機是被其加入的Botnet的控制中心完全控制的。美國是全球擁有Botnet控制中心最多的國家或地區,占40%。作為對比,中國的控制中心比例是5%,列第四位。
這就意味著在國內大部分被感染了Bot的計算機是被國外的控制中心所控制。這里需要指明的一點是,一個Botnet的控制中心設在美國,并不意味著Botnet的控制者本身就在美國。一個來自東歐的攻擊者完全可以通過一個在美國的控制中心來控制一臺在德國的機器。另一個角度來說,國內的普通用戶,由于配套的安全措施和安全意識的不足,已經成為全世界有組織的計算機犯罪團體的目標。一個標志是源自國內的垃圾郵件的發送量不斷增加,這與國內感染了Bot的計算機的數目增加不無關系。
隨著越來越多的國內普通用戶使用寬帶連接,我們可以預測國內感染了Bot的計算機的數目在近幾年內還會不斷增加。
四    總結
國內高速互聯網的迅速發展,給越來越多的普通用戶帶來便利的同時,也同時帶來了風險。相應的安全保護措施,普通用戶的安全意識和教育的培訓,都遠遠沒有跟上。中國已經成為全球感染Bot計算機數目最多的國家。
希望這篇文章可以敲響用戶的安全警鐘。
五    參考文獻
 
1, Symantec Internet Security Threat Report, Trends for July–December 06
http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xi_03_2007.en-us.pdf
 
2, Internet Bot, http://en.wikipedia.org/wiki/Internet_bot
 
 

 

 
最新內容:
網絡癱瘓案專案組:近期網絡攻擊案明顯增長[2009-08-04]
美國終于拿下最怕的黑客[2009-08-03]
墨爾本電影節官網再遭中國黑客襲擊[2009-08-03]
黑客攻擊越鬧越大 電信網絡接連告急[2009-08-03]
連續斷網是不良企業作惡的結果[2009-08-01]
iPhone OS 3.0.1發布 修補短信安全漏洞[2009-08-01]
相關內容:
时时彩连挂赚钱 股票怎么开户啊 新农开发股票 今日股票大盘走势 股票期权试点结算规 手机股票软件下载 证券投资基金资产保管人是 明日股市行情 股票黄金涨石油跌 国际股票指数 涨停股票

合作伙伴: 黑基網 補天科技 威盾科技 站長下載 新飛金信 北京電信 ZOL應用下載
中華人民共和國增值電信業務經營許可證京ICP備14024464 公安備案號 京1081234 
版權所有©2003-2014 冰盾防火墻  www.1604100.live 法律聲明
總機:(010)51661195
股票怎么开户啊 新农开发股票 今日股票大盘走势 股票期权试点结算规 手机股票软件下载 证券投资基金资产保管人是 明日股市行情 股票黄金涨石油跌 国际股票指数 涨停股票