发现和跟踪僵尸网络解析课件.ppt

发现和跟踪僵尸网络,诸葛建伟狩猎女神项目组The Artemis Project,北京大学计算机科学技术研究所,2,内容,狩猎女神项目组僵尸网络概述发现僵尸网络跟踪僵尸网络总结与进一步工作,狩猎女神项目组,The Artemis Project,4,项目组简介,蜜罐和蜜网技术研究组北京大学计算机研究所信息安全工程研究中心Honeynet Research Alliance中国唯一团队- Chinese Honeynet Project项目组网站: 项目组邮件列表:HoneynetCN邮件组: ,5,项目组目前研究工作,蜜网维护及攻击案例分析结合第三代蜜网技术和honeyd虚拟蜜罐工具“利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机大会恶意软件的捕获与分析重点针对僵尸网络蜜网数据分析与可视化研究网络环境信息获取工具NetEye攻击数据统计分析与可视化工具基于多源数据融合框架的攻击态势评估技术研究,僵尸网络概述,7,僵尸网络起源,Eggdrop bot: 1993良性Bot工具: Spiders, 恶意Bot工具DDoS攻击工具: 1999年11月 Subseven 2.1IRC Bot: GTBot、SdBot结合蠕虫传播机制: Agobot/Gaobot, rBot/SpybotP2P Bot: Phatbot,8,僵尸网络危害,分布式拒绝服务攻击2004年6月份-Akamai关键域名服务器被僵尸网络DDoS在线讹诈发送垃圾邮件抓取电子邮件地址、打开Open Relay服务、发送垃圾邮件从僵尸主机上收集敏感信息在线银行账号/密码，信用卡信息，注册码，在线游戏账号/装备,9,僵尸网络的基本网络结构,10,僵尸程序的定义特性,一对多控制关系僵尸程序与其他恶意软件的区别,11,IRC僵尸程序的基本活动步骤,发现僵尸网络,13,如何发现僵尸网络？,IDS方法必须充分了解僵尸程序，提取指纹信息作为IDS检测的特征行为监测法僵尸程序行为模式：快速连接控制信道、长时间在线发呆、蜜罐捕获法通过部署蜜罐对僵尸程序进行捕获样本通过对网络行为进行监视和分析僵尸网络控制信道信息,14,僵尸程序的传播方式,主动攻击漏洞攻击漏洞，通过shellcode注入僵尸程序与蠕虫主动传播方式结合：Agobot, rBot 邮件病毒即时通讯软件: MSN性感鸡恶意网站脚本 特洛伊木马,15,恶意软件捕获器mwcollect,针对主动攻击漏洞传播的恶意软件(包括僵尸程序)模拟RPC DCOM、LSASS等知名漏洞对主动攻击漏洞恶意软件注入的shellcode进行分析，获取恶意软件传播使用的URL通过URL获取恶意软件样本,16,其他的僵尸程序来源,International mwcollect Alliance共享捕获的恶意软件样本资源与反病毒厂商的样本交换Panda Software公开的恶意软件分析报告资源Sandbox.norman.no,17,僵尸程序样本分析,任务获取僵尸网络控制信道信息控制服务器host/port连接口令加入的频道名/频道口令用户名和昵称的结构 CHN|xxxxx?方法沙箱: sandbox.norman.no蜜网在线攻击分析技术逆向工程技术,跟踪僵尸网络,19,HoneyBot,僵尸网络跟踪工具HoneyClient客户端蜜罐技术能够根据给定的控制信道信息连入僵尸网络，并隐蔽地对僵尸网络活动进行跟踪和审计的蜜罐僵尸工具同时跟踪多个僵尸网络Honeybot原型系统：python + irc client lib,20,僵尸网络控制服务器分布,21,僵尸网络规模分布,22,一个典型的僵尸网络规模增长情况,23,使用mIRC跟踪僵尸网络,24,跟踪到的僵尸网络扫描活动,25,跟踪僵尸网络的一些经验,相当大比例的僵尸网络生命周期较短首先使用自动化跟踪工具确定其存活情况、规模等信息，再进行选择跟踪伪装性昵称和用户名必须与其他僵尸程序一致Disable IRC协议的CTCP (Client to Client Protocol)功能使用SOCKS代理保证跟踪源的隐蔽性如果被僵尸网络控制者识破：DDoS,26,进一步工作,增大恶意软件的捕获范围分布式部署重定向机制将针对业务网络的恶意软件感染重定向到蜜罐网关ARP重定向机制接入交换机DNAT重定向机制未分配IP、VDS更有效的分析僵尸程序蜜网在线数据分析技术更全面地跟踪僵尸网络HoneyBot工具的进一步工作全网范围内监控僵尸网络根据HoneyBot获得的僵尸程序指纹特征及行为特征进行检测和封堵,27,谢谢！,狩猎女神项目组/The Artemis P诸葛建伟，,Q&A,狩猎女神项目组/The Artemis P诸葛建伟，,