僵尸网络安装后的第一件事情就是与IRC服务器取得联系然后在密码的帮助下成功进入控制渠道。IRC上的昵称是随机产生的。僵尸计算机然后就会接受来自于主机应用程序的命令。攻击者必须使用密码链接僵尸网络。这是必须的,因此外人不可能使用这一僵尸网络。
僵尸网络
僵尸网络不仅提供控制数百台僵尸计算机的方法,还会提供相应的技术来隐藏其真实身份。这样就使得攻击来源模糊化难以侦查。对于我们来说很幸运的是,僵尸网络有其自身无法避免的弱点,就是其产生的异常流量很容易就被发现。这样,IRC的管理员就可以将僵尸网络拒之门外并且对相关用户做出通报。
面对形势的变化,攻击者不得不提高他们的控制和命令技巧,这样就出现了僵尸网络萃取。僵尸使用动态的映射用户名配置到不同的主机上。藉此,攻击者可以轻易的将僵尸配置到新的服务器上,保证即时在被发现之后还能够运转自如。一些动态的域名服务器就是为此应运而生的,诸如dyndns.com,no–ip.com。
动态域名服务器
动态域名服务器(RFC 2136)将域名链接到一个动态的IP地址上。通过调制解调器,ADSL以及光纤上网的用户根本就没有一个固定的域名。一旦用户联网,英特网服务提供商就会从一个IP库中随意分配一个未经使用的IP地址。当然,这一地址只会在那台计算机的上网的那段时间中保留。
这一机制使ISP们最大限度的利用现有的IP库,但是这样损害了那些需要静态域名的用户的利益。为了解决这一问题,动态域名系统应运而生。ISP们实现此目的的一个手段是使用一个精心设计的程序,就是每当用户的IP地址转换的时候,它就会对DNS数据库做出标记。
为了隐藏这一行为,IRC渠道设计的时候就限制了访问并且隐藏行为。典型的僵尸网络渠道的IRC模式有以下:+k(访问时需要密码),+s(渠道不会出现在公众网络渠道里),+u(只有操作员在用户名单里可见),+m(只有使用+v语态地位的用户才可以进入这一渠道)。许多专业的黑客使用的是特制的IRC服务器加密所有在通讯中的相关交流。还有一个趋势就是他们使用各种个性化的IRC服务器软件,可以用来窃听非标准端口或是使用改进版的通讯协议,这样普通的IRC客户机就不能进入这一网络。
实践中的命令与控制——Agobot
我们先来看一下一个实际的攻击场景,这样我们就可以更清晰的了解僵尸网络的命令与控制操作的相关过程。这一任务包括两台计算机。第一台计算机在一台基于UnrealIRCd 3.2.3上使用的IRC服务器,还有两台基于Vmware工作站的虚拟的Windows XP SP1机器(都存在潜在的感染风险)。第二台由僵尸牧者操控僵尸网络,实用的是Irssi,一个原原本本的IRC客户机。
为了使这一发工程学更加困难,Agobot执行一些常规的反制措施,包括SoftICE or OllyDbg调试器的使用,并且针对虚拟的Vmware和Virtual PC也做出了应对措施。因此就有必要劫持源代码绕开Vmware的保护,在僵尸被安装到我们虚拟的系统之前。
配置
第一步就是使用简单的图形操作界面配置僵尸(见下图)。输入的信息包括名称和IRC服务器的端口,通道名称,拥有密码的管理员的清单,最后,僵尸将要侵袭的文件名和目录。一些插件也需要激活,诸如网络嗅探支持还有多形态引擎。这一步骤的结果就是config.h文件夹,这是僵尸网络编辑的根本。
Agobot配置操作界面
上一页 1 2 3 4 下一页
安全中国首页 > 文章中心 > 安全防护