2004年底,集中控制的、规模达到近十万个节点的计算机群的黑客被发现。网络僵尸由此诞生。
2004年底,CNCERT/CC在处理一起网络安全事件的过程中,发现一个被黑客集中控制的、规模达到近十万个节点的计算机群。由于对网络和大批用户构成严重的安全威胁,从而受到国家有关部门的关注。
2005年初,通过与有关部门的通力合作,一举消除了这个危害。但这种网络攻击方式开始引起全球的关注。国外称之为BotNet。在我国,则称之为僵尸网络。
实际上,前几年我国就出现僵尸网络。2003年3月8日,在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可视为僵尸网络。它的一个特点是:被它感染的计算机会主动和境外的13个IRC服务器建立连接。
显然,释放蠕虫的人是要让蠕虫程序自动“汇报”,使其能够掌握蠕虫感染的具体情况,并进一步通过这些IRC服务器,向感染口令蠕虫的计算机发送指令。
这个现象改变了传统蠕虫不能“回收”的属性,也就是说,蠕虫的释放者不再像以前那样,并不掌握蠕虫代码成功入侵了哪些计算机,也不能从释放蠕虫或者病毒的行为中给自己带来直接的利益。
相反,现在的攻击者不但可以“回收”蠕虫蔓延的成果,还可以集中对感染蠕虫的计算机进行远程控制。CNCERT/CC在当时就分析,这可能会成为一种趋势。从CNCERT/CC已掌握的4万多个IP被口令蠕虫入侵一事看,僵尸网络的发展规模正在壮大。
由于该蠕虫很快被发现,并被成功遏制,反而使人们没有意识到这样一种网络攻击的危害。
类似地,2004年也出现过其他用来构建僵尸网络的蠕虫或病毒,国内的安全企业也仅仅从用户端反病毒的角度来研究的。
直到2005年,现实中的安全事件才使我们意识到需要重新研究僵尸网络的危害和应对措施。
图1 IRC僵尸网络示意图
网络成傀儡
对于僵尸网络,攻击者是通过各种方式扩大被植入僵尸程序的计算机规模的,其中利用蠕虫蔓延是一个重要手段。从2001年红色代码蠕虫之后,对各种恶意代码的综合利用就已成为趋势。
攻击者在利用别的蠕虫或者恶意代码所形成的入侵基础上,进一步扩充僵尸计算机群,甚至进行半自动或手动扫描。
对于传统的蠕虫,我们非常关注其蔓延速度,以及在蔓延过程中对网络造成的影响。但是目标是构建僵尸计算机群的蠕虫攻击,攻击者可以慢慢扩张,而不易引起人们的注意。
攻击者并不直接对僵尸计算机进行控制,而是通过控制服务器。这些控制服务器经常是互联网上的一些公共服务器。这样做的好处是,既可以隐蔽自己,又可以利用公共服务器更加充足的资源。
控制服务器是整个僵尸网络的指挥中心,用于接收僵尸程序的连接,以及向所有僵尸计算机发送指令。控制服务器通常采用公共的协议和服务器,例如IRC。利用IRC构建僵尸网络是当前最主要的形式之一。
僵尸程序会自动连接到预定的IRC服务器中,加入特定的聊天频道。攻击者同样加入到这些频道中。攻击者发出的特定聊天指令,会被所有加入到这个聊天频道的僵尸计算机接收,并且被解释成特定的指令。这种方式,和当初MUD游戏中外挂机器人的原理是一样的。
控制服务器可以是一个,也可以是多个。
后患无穷
僵尸网络不同于病毒、网络仿冒(Phishing)、拒绝服务攻击等特定的安全事件,它是攻击者手中的一个攻击平台。攻击者利用这个平台,给个人或者整个网络带来各种危害。但是,在静态的情况下,具体的危害具有未知性和灵活性。
利用僵尸网络展开的攻击,可以导致整个基础信息网络的瘫痪,也可以导致大量机密或者个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。
对于僵尸网络,可能被用于的攻击行为简单说明如下。
建立攻击环境
攻击者可以向每个僵尸计算机中传送新的程序,也可以从这些计算机中窃取文件。有了这个功能,攻击者可以利用的这些计算机,建立各种新的攻击环境。
例如,攻击者可以直接从这些计算机中窃取机密文件,也可以在这些计算机中植入窃听程序,专门记录这些计算机用户的银行账号或网络账号等。
