`
javasee
  • 浏览: 960053 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

互联网安全分析:Botnet,北京,中国,美国

阅读更多
互联网安全分析:Botnet,北京,中国,美国
前言- 触目惊心的一组数据
刚刚看了Symantec 赛门铁克公司三月份最新发布的互联网安全报告。有这么一组数据令人震惊。[1]
  • 北京市是全球感染Bot计算机数目最多的城市,占总感染量的5%
  • 中国是全球感染Bot计算机数目最多的国家或地区,占总感染量的26%
  • 美国是全球拥有Botnet控制中心最多的国家或地区,占40%。
这组数据的背后的含义是什么?要回答这一点,我们先看看什么是Bot?什么是Botnet?
Bot/Botnet
目前对Botnet没有特别权威的翻译。有许多翻译为“僵尸网络”,实际上并不完全准确。“僵尸网络”实际上是“zombie network”的翻译,它是比喻恶意Botnet的表现形式。还有的翻译为“波特网”或“机器人网络”。在本文中,为了避免混淆,将直接使用Bot和Botnet。
Bot,这个词是从“Robot”这个词变化来的,用来指在互联网上,可以自动执行特定任务的软件程序。[2] 这些特定的任务可以是在网络上查询特定信息,报告天气,参加网络竞拍等等。
但是,对于一个恶意的Bot来说,执行的任务就会变成:
  • 散布病毒,间谍软件或广告软件
  • 发送垃圾邮件
  • 网络访问代理
  • 执行DDOS攻击
  • 窃取敏感信息,如银行密码
  • 自动拨号
  • 等等
本文以下的Bot均指的是恶意的Bot。
Botnet,顾名思义,就是由若干Bot(感染Bot的计算机)构成的网络。在网络中,存在一个控制中心(Command and control center)。每台感染Bot的计算机一般通过Internet Relay Chat(IRC)方式与控制中心建立连接,接受来自控制中心的指令。这样,攻击者就可以通过控制中心,集中管理Botnet内的所有机器。也就是说,一台感染Bot的计算机,它的一举一动都可以被远程监控和控制,如同僵尸(zombie)一般。这就是Zombie Network这个词的来历。
推动Botnet发展的因素之一就是实在的经济利益,钱。一个Botnet的控制者,可以和广告软件的发布者合作,以增加相应站点的点击率;可以和垃圾邮件的发布者合作,一次发布成千上万封的垃圾邮件;或者是DDOS攻击,如网络勒索。就像强收保护费一样。如果一个中小型网站不付钱的话,就让Botnet控制的所有机器都恶意访问这个网站,以打乱其正常的商务活动。
Bot攻击实例分析
我们来看看一个典型的Bot是如何攻击普通用户的。Rbot是目前最为流行的Bot攻击程序之一。它是如何运作的?
第一步:远程攻击存在安全漏洞的机器

常见被Rbot利用的安全漏洞有:
  • DCOM RPC 安全漏洞(Microsoft安全通告MS03-026)
  • UPnP安全漏洞(Microsoft安全通告MS01-059)
  • LSASS安全漏洞(Microsoft安全通告MS04-011)
等等
另外一种常见的攻击方式是通过社会工程,例如作为一个电子邮件的附件发送给用户,或者通过IM让用户下载。
第二步,加入Botnet
一旦Rbot开始运行,它就会有以下几个动作:
  • 将自身加入到系统自动运行的程序中。例如,在
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,创建相应的注册表信息,这样每次系统启动,它都会自动被执行。
  • 关闭某些特定程序,如防火墙,系统自动更新。
  • 连接IRC服务器,即Botnet的控制中心。
  • 扫描其他机器,以测试是否可以被成功攻击。
第三步,接受来自Botnet控制中心的指令
一个Rbot可以接受的控制指令。
  • 更新Rbot版本
  • 窃取密码
  • 访问特定http站点
  • 屏幕截图
  • 报告系统信息
  • 开启shell
  • 执行特定程序
  • 等等
数据背后的含义
回顾一下Symantec报告中的数据。
北京市是全球感染Bot计算机数目最多的城市,占据总感染量的5%。中国是全球感染Bot计算机数目最多的国家或地区,占据总感染量的26%。
作为对比,美国是全球感染Bot计算机数目的第二位,占据总感染量的14%。
根据报告,Symantec 全球检测到6049594台感染Bot的计算机。那么,北京就有三十万左右,中国就有一百五十万台左右感染Bot的计算机。
另一方面,我们知道,感染了Bot的计算机是被其加入的Botnet的控制中心完全控制的。美国是全球拥有Botnet控制中心最多的国家或地区,占40%。作为对比,中国的控制中心比例是5%,列第四位。
这就意味着在国内大部分被感染了Bot的计算机是被国外的控制中心所控制。这里需要指明的一点是,一个Botnet的控制中心设在美国,并不意味着Botnet的控制者本身就在美国。一个来自东欧的攻击者完全可以通过一个在美国的控制中心来控制一台在德国的机器。另一个角度来说,国内的普通用户,由于配套的安全措施和安全意识的不足,已经成为全世界有组织的计算机犯罪团体的目标。一个标志是源自国内的垃圾邮件的发送量不断增加,这与国内感染了Bot的计算机的数目增加不无关系。
随着越来越多的国内普通用户使用宽带连接,我们可以预测国内感染了Bot的计算机的数目在近几年内还会不断增加。
总结
国内高速互联网的迅速发展,给越来越多的普通用户带来便利的同时,也同时带来了风险。相应的安全保护措施,普通用户的安全意识和教育的培训,都远远没有跟上。中国已经成为全球感染Bot计算机数目最多的国家。
希望这篇文章可以敲响用户的安全警钟。
五参考文献
1, Symantec Internet Security Threat Report, Trends for July–December 06
分享到:
评论

相关推荐

    系统内核级botnet分析防范

    在网络安全领域,僵尸网络(botnet)是一个重大威胁。僵尸网络是由大量被恶意软件感染的计算机组成的网络,这些计算机通常被称为“僵尸”,它们可以被远程控制者集中操纵,执行诸如垃圾邮件发送、分布式拒绝服务攻击...

    Karuto Version 1.0_botnet_

    《Karuto Version 1.0_botnet_》是一款专门针对Botnet(僵尸网络)进行扫描的工具,旨在帮助网络安全专家和普通用户检测并防御潜在的僵尸网络威胁。Botnet是一种由黑客控制的分布式网络,通常由被恶意软件感染的...

    botnet survey

    在当前互联网安全领域,Botnet已经成为一个不容忽视的重大威胁。根据Yong Qing Ni与Dae Hun Nyang在《Botnet调查》一文中所述,自首个基于IRC(Internet Relay Chat)的Botnet出现以来,各种更为复杂、更具韧性的...

    DripSource_botnet_

    3. **DripSource**:DripSource可能是特定的僵尸网络名称,也可能是一种扫描工具的名称,用于发现和分析这个特定botnet的行为和特征。 4. **botnet扫描**:扫描是网络安全中常见的防御策略,用于识别网络中的异常...

    Mirai_ResearchAnalytics_botnet_

    在当今的互联网环境中,物联网(IoT)设备的广泛应用带来了诸多便利,但同时也催生了一个新的安全威胁——Mirai 僵尸网络。标题中的“Mirai_ResearchAnalytics_botnet_”暗示了我们将对这个著名的恶意软件进行深入...

    BoTNet人脸识别.rar

    BoTNet用于人脸识别的Pytorch版本。可参考:https://blog.csdn.net/Bixiwen_liu/article/details/113951973?spm=1001.2014.3001.5501

    A Proposed Framework for P2P Botnet Detection

    随着互联网技术的发展,网络攻击手段也日益复杂多样。其中,**僵尸网络(Botnet)**是最为常见且威胁巨大的一类攻击形式。僵尸网络由大量被远程控制的计算机组成,这些计算机在未被用户察觉的情况下被恶意利用进行...

    Dirtz_Net_botnet_

    【标题】"Dirtz_Net_botnet_" 指涉的是一个可能与网络安全相关的主题,特别是关于“botnet”(僵尸网络)的扫描工具或数据。僵尸网络是由黑客控制的一组被感染设备,通常用于分布式拒绝服务(DDoS)攻击、垃圾邮件传播...

    Snoopy v2_botnet_V2_botnetsourcecode_

    标题"Snoopy v2_botnet_V2_botnetsourcecode_"涉及的是Snoopy Botnet的第二版源代码泄露事件。Snoopy Botnet是一种网络僵尸网络,由恶意软件构成,通常用于非法活动,如分布式拒绝服务(DDoS)攻击、数据窃取或其他...

    UBoat:HTTP Botnet项目

    UBoat:HTTP Botnet项目

    Amari_Mirai_V2_botnet_

    标题“Amari_Mirai_V2_botnet_”与描述中的“botnet scanner scanningggg”共同指向一个关键主题:Amari Mirai V2 僵尸网络的扫描活动。Amari Mirai 是一种著名的恶意软件,特别是针对物联网(IoT)设备的僵尸网络。...

    HexGrid-botnet.zip_botnet_omnet cellular_omnet data_omnet 仿真_蜂窝网

    通过这个项目,研究人员或开发者可以深入理解botnet在蜂窝网络中的行为模式,评估网络的抗攻击能力,优化安全策略,并对数据报分发进行性能测试。此外,使用OMNeT++和MATLAB结合,可以进行深入的数据分析和结果可视...

    Zmap qbot scanner_botnet_

    ZMap scanner for botnet

    Storm Worm & Botnet Analysis

    Analysis report for storm worm && botnet

    Kanashi v3_botnet_

    【Kanashi v3_botnet_】是一种网络扫描工具,主要针对的是僵尸网络(botnet)的检测和分析。僵尸网络是由黑客控制的一群被感染的计算机,它们被用来执行恶意活动,如分布式拒绝服务攻击(DDoS)、垃圾邮件传播或窃取...

    网络恶意程序“Botnet”的检测技术的分析

    目前Botnet技术发展最为快速,不论是对网络安全运行还是用户数据安全的保护来说,Botnet都是极具威胁的隐患。介绍了Botnet技术的同时也对Botnet检测技术进行了研究,对几种主要的Botnet检测技术进行了深入分析。

    Bot-Builder.zip_botnet

    综上所述,"Bot-Builder.zip_botnet" 提供的源代码对于研究botnet的构建、分析其工作原理以及改进安全防御措施具有重要意义。但同时,这些知识也可能被不法分子用于非法活动,因此,对这类资源的获取和使用必须遵循...

    论文研究-蜜罐先知型半分布式P2P Botnet的构建及检测方法.pdf

    蜜罐技术在僵尸网络(botnet)的防御和检测中扮演着重要的角色。攻击者可能会利用已有的基于蜜罐防御技术...理论分析表明,该检测方法能够有效地弥补蜜罐防御技术的漏洞,提高了蜜罐先知型半分布式P2P botnet的检出率。

    Yukari (Layer7 included)_botnet_源码

    在网络安全领域,botnet是重要的研究对象,因为它们对个人用户和企业的数据安全构成严重威胁。理解botnet的工作原理、检测方法以及如何防止其感染至关重要。 【文件内容推测】 虽然没有具体的文件内容,但根据...

Global site tag (gtag.js) - Google Analytics