僵尸网络的发现与跟踪

僵尸网络的发现与跟踪

诸葛建伟，韩心慧，叶志远，邹维

（北京大学计算机科学技术研究所，北京 100871）

摘 要： 僵尸网络(Botnet)是近年来兴起的危害互联网的重大安全威胁之一，对僵尸网络的发现和跟踪能够帮助安全研究人员深入了解僵尸网络攻击模式。本文介绍了发现和跟踪大量僵尸网络的方法，即通过恶意软件收集器及样本交换等途径收集大量僵尸程序(Bot)，并通过对僵尸程序的分析获取进入僵尸网络控制信道的必需信息，然后使用自动化僵尸网络控制服务器所属国查询以及规模查询工具得出该僵尸网络的基本信息，最后使用IRC客户端软件对IRC僵尸网络进行全面跟踪。本文通过大量的僵尸网络发现和跟踪经验给出了控制服务器所属国、僵尸网络规模的分布统计，以及对典型IRC僵尸网络的跟踪记录。 关键词： 僵尸网络；僵尸程序；恶意软件；蜜网

Discover and Track Botnets

Zhuge Jianwei, Han Xinhui, Ye Zhiyuan, Zou Wei

(Institute of Computer Science and Technology, Peking University, Beijing, 100871)

Abstract: Botnet is one of the emerging serious threats of the Internet. Discovering and tracking botnets can help the

security researchers to understand the attack patterns of the botnets deeply. This paper presents the methodology of botnet discovery and tracking. First, a great deal bots were collected through an automated malware collector and sample exchanging with AV vendors, then they were analyzed to extract all necessary information to connect into the control channel of botnets, with these information, an automated whois query and botnet size tracking tool was used to extract the locations and sizes of the botnets, furthermore, an IRC client software was used to track and log the activities of these botnets. Through discovery and tracking of a great deal of botnets, this paper shows the distribution of locations of the botnet control servers, as well as the sizes of the botnets. Furthermore, a typical IRC botnet tracking example was presented. key words: botnet; bot; malware; honeynet

基金资助：第一作者受2004年微软学者计划及2005年IBM Ph.D. Fellowship计划资助。

作者简介：诸葛建伟（1980－），男，浙江瑞安人，博士研究生，Email:zhugejianwei@icst.pku.edu.cn。

・2・ 全国网络与信息安全技术研讨会’2005

1. 引言

僵尸网络是近年来兴起的危害互联网的重大安全威胁之一，攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。大部分的僵尸网络都可以在攻击者的控制下进行进一步的传播，从而使得僵尸网络的规模越来越庞大。一旦攻击者拥有一定规模的僵尸网络，就可以利用僵尸网络所控制的资源，在互联网上建立起了一种强势地位，并且可以利用这些资源获取经济利益。僵尸网络的危害主要体现在发动分布式拒绝服务攻击、发送垃圾邮件以及窃取僵尸主机内的敏感信息等。

一个稍具规模的僵尸网络所拥有的带宽资源就足以对任何站点实施分布式拒绝服务攻击，著名的案例如2004年6月份互联网基础设施提供商Akamai的一台关键域名服务器受到僵尸网络发动的分布式拒绝服务攻击，导致其客户Google、Microsoft、Yahoo和Apple等知名网站不能提供正常服务；同时僵尸网络控制者往往以分布式拒绝服务攻击对一些在线网站进行讹诈以获得经济利益。僵尸网络控制者还可以滥用僵尸主机的计算和带宽资源，抓取本地或互联网上的邮件地址，并在僵尸主机上打开邮件转发服务，发送垃圾邮件，根据著名的反垃圾邮件公司MessageLabs发布的2004年10月份月度报告，在其过去一年内观测到的垃圾邮件中有70%是从僵尸网络中发出的。最后，僵尸网络控制者还会从僵尸主机上收集一些敏感信息，如在线银行账号/密码、操作系统和应用程序的注册码、流行网络游戏的登录账号/密码以及装备等。由于僵尸网络能够进行众多的攻击行为并使得攻击者获取经济利益，因此也已经被黑客们进行出售或租借。

僵尸网络在二十世纪九十年代末开始出现，近年来开始对互联网的安全构成严峻的危害，因此也逐渐引起反病毒厂商和学术界对僵尸网络活动的关注。但目前对僵尸网络的研究尚处于初步阶段，还并未有发现、跟踪与抑制大量僵尸网络活动的有效方法。

狩猎女神项目组（The Artemis Project）是北京大学计算机科学技术研究所信息安全工程研究中心推进的蜜罐和蜜网技术研究项目，并于2005年2月份经过蜜网研究联盟指导委员会的审核，被接收成为世界蜜网研究联盟的成员，成为国内第一支参与该联盟的团队，并被蜜网研究联盟主席Lance Spitzner命名为Chinese Honeynet Project。从2005年1月份狩猎女神项目组部署的蜜网捕获到僵尸程序开始，我们即开始进行对僵尸网络的跟踪和研究工作。通过发现和跟踪大量的僵尸网络活动，我们对僵尸网络的行为模式有了深入的了解，并对僵尸网络控制服务器所属国家、僵尸网络的规模等进行了统计。

本文的组织结构如下，第2部分将对僵尸网络的发展历程、基本概念及目前对僵尸网络的研究现状进行概述，第3部分将介绍对僵尸网络的发现技术，第4部分将给出我们跟踪大量僵尸网络所获得的结果。最后，第5部分给出本文的结论和进一步工作。

2. 僵尸网络概述及研究现状

2.1 僵尸网络发展历程

虽然僵尸网络在近年才开始被人们关注，但其历史可追溯到1993年，在IRC聊天网络中就已经出现了Bot工具－Eggdrop，它作为IRC聊天网络中的智能程序，能够自动地执行如防止频道被滥用、管理权限、记录频道事件等一系列功能，从而帮助用户更方便地使用IRC聊天网络。而之后黑客也接受了这些良性Bot工具的启发，开始编写恶意Bot工具对大量的受害主机进行控制，利用他们的资源以达到恶意目标。九十年代末随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K、Trinoo，攻击者通过这些工具掌握大量的僵尸主机，发动分布式拒绝

全国网络与信息安全技术研讨会’2005 ・3・

服务攻击。而这些僵尸主机可以说已经构成了僵尸网络的雏形。而1999年在第8届DEFCON年会上发布的SubSeven 2.1版开始使用IRC协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的僵尸程序。之后，使用IRC协议的僵尸程序大规模出现，如GTBot、Sdbot等，也使得IRC僵尸网络成为主流。2003年之后，黑客开始将僵尸程序和蠕虫的主动传播技术相结合，编写出能够快速构建大规模的僵尸网络的工具，著名的有2004年爆发的Agobot/Gaobot和rBot/Spybot。而同年出现的Phatbot则在Agobot的基础上，开始使用P2P协议构建控制信道。由于僵尸网络对攻击者所带来的巨大价值，黑客界也在不断的对僵尸程序进行创新和发展，如使用加密控制信道，使用P2P网络进行传播，并使用完全的P2P网络作为控制信道等，这也使得对僵尸网络的发现、跟踪和反制将变得更加困难。

2.2 僵尸网络概述

虽然僵尸网络已经出现多年，但目前仍然给出任何对僵尸网络的定义，在反病毒领域也一直没有给出僵尸程序的定义，经常与后门工具或蠕虫相混淆。本文将如下定义僵尸网络：僵尸网络是攻击者出于恶意目标，传播僵尸程序将大量主机感染成僵尸主机，并通过一对多的命令和控制信道所组成的网络。因此，僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸主机之间存在着一对多的控制关系，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源并为其服务，这也是僵尸网络攻击模式近年来受到黑客青睐的根本原因。

僵尸网络的网络结构如图1所示，僵尸程序将加入到命令和控制信道，并等待攻击者的命令，攻击者一般通过跳板主机连入命令和控制信道，通过僵尸程序控制僵尸主机，利用大量僵尸主机的资源完成其恶意目标。

图1僵尸网络结构图

从僵尸程序的角度出发，其生命周期大致可以分为如下三个阶段：僵尸程序感染，加入命令和控制信道等待攻击者命令，接收攻击者命令进入破坏阶段

2.3 僵尸网络研究现状

在恶意僵尸程序出现后，安全领域最早对其进行关注的是反病毒厂商，僵尸程序作为从后门工具发展出来，并与蠕虫、Spyware等技术结合的一种恶意软件，属于反病毒软件的查杀范围。著名的各大反病毒厂商都对著名的几个僵尸程序进行了细致的分析，并在反病毒软件中包括了这些僵尸

・4・ 全国网络与信息安全技术研讨会’2005

程序的特征码，从而对他们进行查杀。但反病毒厂商并没有给出僵尸程序和后门工具或蠕虫的严格区分，而将不会大规模传播的僵尸程序归为后门工具，而结合蠕虫技术进行大规模传播的则视为蠕虫。随着近年来僵尸网络活动的日益活跃，反病毒厂商也开始对其更加关注，赛门铁克从2004年开始在其半年发布一次的安全趋势分析报告中以单独的章节给出对僵尸网络活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出僵尸程序的盛行是2004年病毒领域最重大的变化。

从2003年开始，僵尸网络也已经引起了学术界的关注，最早对僵尸网络活动进行深入跟踪和分

[1]

析的是蜜网项目组和蜜网研究联盟的一些成员，如Azusa Pacific大学的Bill McCarty ，法国蜜网项目组的Richard Clarke[2]、华盛顿大学Dave Dittrich [3, 4]和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005年1月通过部署Win32蜜罐机发现并对近100个僵尸网络进行了跟踪，并发

[5-7][8]

布了僵尸网络跟踪的技术报告。在他们的跟踪过程中，还专门开发了mwcollect 对恶意软件样本进行收集，同时借助了德国另外一个团队编写的IRC客户端软件drone对僵尸网络进行跟踪和记录。

可以看出，目前学术界对僵尸网络的研究工作还刚刚起步，国内对僵尸网络的认识和研究工作也同样处于初期阶段，反病毒领域也一直关注于对僵尸程序的分析和查杀，但并没有对僵尸网络活动进行更深入的研究。CNCERT/CC通过破获国内第一起僵尸网络案例[9, 10]积累了宝贵的僵尸网络发现和追踪经验。但从公开发布成果来看，国内并未有大规模发现和跟踪僵尸网络的经验。

3. 发现僵尸网络

由于僵尸网络活动的受控性，其网络行为特征与蠕虫在网络流量规模上有显著的差异，大规模爆发的蠕虫通常感染几十万甚至上百万的主机，并在特定的传播端口上形成全局显著的网络流量异常，如CNCERT/CC对震荡波蠕虫的监测数据即表明LSASS漏洞所在的445端口的流量显著增长。而僵尸网络的规模要比蠕虫传播范围要小很多，而且僵尸网络的进一步扩散以及控制流量存在着时间和空间上的分布性，同时僵尸网络控制阶段在网络流量统计特征上与正常的网络通讯流量并无大的差异性，因此，僵尸网络的传播和控制阶段所引起的流量将会被湮没在大量的正常网络流量中，在未能深入分析僵尸网络活动的表现特征和行为模式的情况下，很难通过监测网络流量发现僵尸网络。而一旦攻击者通过控制僵尸网络发起DDoS攻击、发送大量SPAM等破坏活动，虽然会对受害方造成严重的影响，但在骨干网核心节点上仍难以将其与正常网络流量进行区分，而一般依赖于受害者向应急响应部门汇报后对僵尸网络进行发现。而在破坏阶段发现僵尸网络的活动意义并不大，因为攻击者已经利用僵尸网络对互联网的安全造成了严重的危害。

因此我们利用恶意软件收集器对恶意软件样本进行收集，通过对恶意软件样本的分析判断其是否僵尸程序，并析取出僵尸程序所连接的僵尸网络控制信道信息，从而在僵尸网络的早期传播阶段就能够对其进行发现。

依赖恶意软件收集器对僵尸程序进行收集必须首先深入分析僵尸程序的主要感染途径，目前僵尸程序的感染途径主要包括如下几类： 1) 主动攻击漏洞

其原理是通过攻击系统所存在的漏洞获得访问权，并在Shellcode执行僵尸程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载僵尸程序执行，我们所部署的蜜网中即捕获过这样的攻击案例。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使僵尸程序能够进行自动传播，著名的案例如AgoBot。另外，正如我们所观测到的，僵尸网络往往通过攻击多个系统漏洞进行进一步扩散。 2) 邮件病毒

僵尸程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及

全国网络与信息安全技术研讨会’2005 ・5・

在邮件内容中包含下载执行僵尸程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机。 3) 即时通讯软件

利用即时通讯软件向好友列表发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如年初爆发的MSN性感鸡（Worm.MSNLoveme）。 4) 恶意网站脚本

打开网站时即通过利用浏览器自动执行远程脚本的功能对主机进行感染。 5) 特洛伊木马

伪装成有用的软件，在网站、FTP服务器、P2P网络中提供，诱骗用户下载并执行。

我们目前已经部署的恶意软件收集器是针对最主流的僵尸程序感染方式－主动攻击漏洞感染，首先将会模拟一系列常见的操作系统漏洞如RPC DCOM漏洞、LSASS漏洞等，当恶意软件通过攻击这些漏洞试图感染蜜罐机时，恶意软件收集器将通过分析恶意软件攻击所使用的Shellcode获取其中包含的恶意软件链接URL，并根据此URL下载获得恶意软件样本，实际结果显示此方法取得了良好的效果。 从2005年1月份狩猎女神项目组部署的蜜网捕获到僵尸程序开始，我们即开始进行对僵尸网络的跟踪和研究工作。在之后的半年时间内，我们部署了恶意软件收集器，能够自动化地进行收集，而不再像传统的蜜罐技术需要人工介入，同时申请加入了国际恶意软件收集联盟（International mwcollect Alliance）以共享收集到的样本资源，并与德国蜜网项目组合作进行僵尸程序的收集工作及对僵尸网络控制信道信息的提取。

对收集到的恶意软件样本，我们采用了沙箱、蜜网两种各有优势的技术对其进行分析，确认其是否僵尸程序，并对僵尸程序所要连接的僵尸网络控制信道的信息进行提取。对于普通的僵尸程序，我们可以通过沙箱技术在一个完全虚拟的环境中运行僵尸程序，并对其行为进行监控。但对部分能够对抗虚拟环境的僵尸程序如Agobot，我们在高度可控的蜜网框架[11]内，利用一系列的数据捕获和分析工具对其网络行为进行分析，以获取僵尸程序所连接的僵尸网络控制信道信息。

通过各种途径，我们最终获得了60,000多个僵尸程序样本分析报告，并从中析取出8,000多个IRC僵尸网络的控制信道信息1。

4. 跟踪僵尸网络

在获得这些信息后，我们使用Python语言开发了一个能够批量的查询这些IRC控制服务器是否活跃，IP所属国家，并连入僵尸网络获取其用户规模和控制指令的工具，通过此工具对8,000多个IRC控制服务器的查询及对其中500多个仍然活跃的僵尸网络的跟踪，我们得到如下一些统计结果。图2给出了这8,000多僵尸网络的控制服务器IP所属国家分布，美国以43%高居榜首，随后的是几个发达国家，而大中华（包括中国、香港和台湾）所占的比例仅为3%，这与Symantec和CipherTrust探测到的僵尸主机的比例（分别为8%和15%左右）形成较大的反差，这在一定程度上能够反映出目前国内大部分的僵尸主机是被国外的黑客所控制。

图3则给出了其中活跃的500多个僵尸网络的规模分布，10,000个以上僵尸主机组成的大规模僵尸网络还是极少数，值得注意的是，规模在1,000到5,000的僵尸网络占了总数的近四分之一，而其中的每个僵尸网络足以对互联网上任何一个站点发布分布式拒绝服务攻击，使之瘫痪。

图4则显示了一个较大型的僵尸网络在3个小时内进行进一步扩散的规模曲线图，其规模以每小时平均7%的比例增长。 1

僵尸工具存在重复，可能会连接同一僵尸网络。

・6・ 全国网络与信息安全技术研讨会’2005

另外我们还使用了mIRC客户端软件对其中部分活跃的IRC僵尸网络进行了更全面的跟踪，发现了大量控制者所执行的活动，包括进一步扩散、对僵尸程序进行更新、对特定目标执行分布式拒绝服务攻击、利用僵尸网络发送垃圾邮件以及窃取僵尸主机上的敏感信息等。图5和图6显示了一个典型的正在进行进一步扩散的僵尸网络控制信道的截图。可以看到，控制者通过频道的话题发布其控制指令：.advscan lsass_445 40 0 0 –r -b. 每个刚加入控制信道的僵尸程序将获取该指令并执行。

图 2 跟踪的IRC僵尸网络控制服务器所属国分布

700060005000400030002000100002:53:193:53:184:53:185:53:18

图 3 跟踪的僵尸网络规模分布

图 4 一个僵尸网络规模增长情况

图 4 跟踪到的一个典型的僵尸网络控制信道

图 5 跟踪到的一个典型僵尸网络中的活动记录

全国网络与信息安全技术研讨会’2005 ・7・

我们对跟踪到的僵尸网络进行确认后，按照僵尸网络控制服务器所属国将僵尸网络活动事件汇报给了该国的应急响应部门。

5. 结论与进一步工作

僵尸网络是目前危害互联网的重大安全威胁之一，本文介绍了狩猎女神项目组在僵尸网络发现和跟踪方面的实践经验和跟踪结果。狩猎女神项目组通过恶意软件收集及分析发现了大量的僵尸网络，并通过自动化工具对僵尸网络控制服务器所属国及规模进行查询，给出了分布统计，同时基于IRC客户端软件对活跃的僵尸网络进行了全面的跟踪，从而僵尸网络的行为模式进行了深入了解。 本文所进行的僵尸网络发现和跟踪实践仍还处于对僵尸网络研究的初期阶段，我们进一步的工作将包括开发分布式部署的恶意软件收集体系，以及能够对通过邮件途径传播的僵尸程序进行收集的HoneyMail工具；在恶意软件样本分析方面，我们正在研究基于数据融合技术框架的蜜网攻击数据分析及可视化工具，基于此工具能够在高度可控的蜜网框架中更方便地分析僵尸程序的网络行为和系统行为；此外，我们将开发能够同时跟踪大量僵尸网络的HoneyBot工具，并将僵尸网络信息及活动记录到数据库中，以供提供友好的汇报界面并能够进行更深入的分析，从而发现僵尸网络活动的抽象行为模式；上述一系列技术研究和工具开发将提供一套能够高效地发现和跟踪僵尸网络的完整技术方案。

参考文献：

[1] McCarty B., Botnets: Big and Bigger, IEEE Security & Privacy Magazine, 1(4): 87-90, 2003.

[2] Clarke R., Building an Early Warning System in a Service Provider Network,

http://blackhat.com/presentations/bh-europe-04/bh-eu-04-fischbach-up.pdf, Black Hat Briefings Europe, 2004. [3] Dittrich D., Bots and Botnets - The Automation of Computer Network Attack, AusCERT 2005, Brisbane, Australia,

May 2005.

[4] Dittrich D., Beat back the botnets, SANS WebCast,

http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1086201,00.html, May 9, 2005.

[5] Wicherski F.C., Holz T. and Wicherski G., Botnet Tracking: Exploring a Root-Cause Methodology to Prevent

Distributed Denial-of-Service Attacks, RWTH Aachen Technical Report, AIB-2005-07, http://www-i4.informatik.rwth-aachen.de/lufg/publications/files/AIB-2005-07.ps.gz, Apr. 2005.

[6] The Honeynet Project and The Honeynet Research Alliace, Know your Enemy: Tracking Botnets, Using honeynets to

learn more about Bots, The Honeynet Project Whitepaper, http://www.honeynet.org/papers/bots/, March 2005. [7] Holz T., A Short Visit to the Bot Zoo, IEEE Security & Privacy Magazine, 3(3): 76-79, 2005. [8] German Honeynet Project, mwcollect, http://www.mwcollect.org, 2005. [9] 周

勇

林

,

僵

尸

网

络

的

威

胁

和

应

对

措

施

.

http://www.cert.org.cn/upload/2005AnnualConferenceCNCERT/3Cooperation&SharingTrack/5.BOTNETTC(YonglinZhou).pdf, 2005中国计算机网络安全应急年会, 2005年3月.

[10] 国家计算机网络应急技术处理协调中心, CNCERT/CC 2004 年网络安全工作报告,

http://www.cert.org.cn/upload/2004CNCERTCCAnnualReport_Chinese.pdf, 2005年3月.

[11] The Honeynet Project, Know Your Enemy: Learning about Security Threats (2nd Edition), Boston, US:

Addison-Wesley Professional, 2004.