【IT专家网独家】僵尸网络的攻击要素
下图显示了一个典型的僵尸网络结构
攻击者首先会散布木马病毒感染大量的主机,然后这些主机就成为了所谓的僵尸然后与IRC(在线聊天系统,Internet Relay Chatting)服务器连接获取进一步的指令。
IRC服务器既可以是IRC网络中的单台公用计算机也可以是攻击者处心积虑设置在受威胁计算机上的一个服务器。僵尸在受威胁的计算机上运行,这样就形成了一个僵尸网络。
典型案例
攻击者的行动可以分裂为以下四步:
生成、配置、感染、控制
生成步骤很大程度上依赖于攻击者的能力和要求。黑客会决定是否采用自己编写的僵尸代码或是仅对现存的代码作简单的修改。在现实的生活中,有大量的现成的僵尸。使用图形操作界面显得更为简单。难怪有大量的初学者就选择了这样一条简单之路。
在配置阶段主要包括提供IRC服务器和通道信息。一旦被安装到受威胁的计算机中,僵尸计算机就会连接到指定的主机。攻击者首先会输入必要的数据来限制僵尸计算机的访问权限,保证渠道最终提供授权用户的清单(这些人可以控制僵尸网络)。在这一步骤中,僵尸就会带有典型的特征,例如会定义关于攻击目标和攻击形式的一些问题。
在感染阶段,主要是使用不同的技术来传播僵尸——直接手段或是间接手段。直接手段包括利用操作系统或是服务的漏洞。间接手段就是使用一些软件,例如使用恶意的HTML网页对IE浏览器的漏洞进行攻击,使用点对点网络或是直接的客户点对点的文件传输来发布恶意软件。直接攻击一般都自动的伴有蠕虫病毒。蠕虫的任务就是寻找二级网络的系统相关漏洞然后感染僵尸代码。受感染的系统接着继续这样一个过程,这样攻击者就免去了花费大量时间来寻找新的受害者。
在发布僵尸网络中所应用的机制是所谓的英特网背景噪音的重要原因。这些主要的端口分布在Windows中,特别是Windows2000和XPSP1,它们似乎是黑客们最钟情的目标,因为他们很容易就可以找到未下载补丁的Windows计算机,有些情况下,这些计算机连防火墙都省了。在家庭用户和小企业中很普遍,这些人往往忽视安全问题,并且宽带连接一直大敞。
端口 | 服务 |
42 | WINS (Host Name Server) |
80 | HTTP (IIS or Apache vulnerability) |
135 | RPC (Remote Procedure Call) |
137 | NetBIOS Name Service |
139 | NetBIOS Session Service |
445 | Microsoft–DS–Service |
1025 | Windows Messenger |
1433 | Microsoft–SQL–Server |
2745 | Bagle worm backdoor |
3127 | MyDoom worm backdoor |
3306 | MySQL UDF (User Definable Functions) |
5000 | UPnP (Universal Plug and Play) |
表一 与漏洞服务相关的端口
在控制步骤主要是指僵尸在指定的主机内生根之后一些事情。为了突破Windows,它会升级注册表,一般是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
联系客服