僵尸网络的发展历史(一)

日期: 2010-10-25 作者:Rik Ferguson 来源:TechTarget中国

  不了解僵尸网络,你就不会明白我们正身处现代网络战争的战场中央,这里没有炮火和硝烟,但却时时上演Call of Duty5中的僵尸攻击波……当然,最糟糕的莫过于,当我们开始关注自己的电脑如何变成僵尸时,我们的城市和家园已经上演《生化危机》第四集。好了,准备亡命天涯之前,跟资深安全顾问Rik Ferguson一起温习一下前三集的功课吧。

  就在Melissa病毒横扫全球之后,网络安全人员已疲惫不堪之际,ILOVEYOU病毒已蠢蠢欲动,然而,一波更隐密的新形态敌人正暗度陈仓、悄悄越过防线……

  起初,一开始有两个竞争对手在争夺Bot网络先锋的宝座:Sub7与Pretty Park,前者是木马程序,后者是蠕虫程序。两者都导入了IRC通讯管道来让受害计算机接收恶意指令的概念。这两个恶意软件(这样说可能Sub7的作者不太同意,因为这位“黑帮份子”比较喜欢用“远程管理工具”这个名词)都是在1999年首次出现,从此开始,Bot网络的技术就不断进步。

  僵尸网络发展史上有几项重大事件。首先,全球化Bot威胁(GTbot)在2000年出现。GTbot是以mIRC客户端为基础发展出来,因此它可以根据IRC事件来执行客制化程序码(script)。此外,同样重要的是,它会使用TCP和UDP封包,所以很适合执行基础的拒绝服务攻击(Denial of Service),有些攻击甚至可以扫瞄已遭Sub7感染的主机,然后将它们“更新”成GTbot计算机。

  2002年,随着SDBot和Agobot的出现,Bot网络的技术也有重大进展。SDBot是一个单独的二进制文件,用C++撰写而成。它的制造者将此“产品”商业化,让其原始码广为流传,结果,许多后来的Bot程序都多少引用了SDbot的程序代码或概念。同年,Agobot又有新的突破。Agobot导入了模块化、分阶段运送酬载的攻击概念。攻击的第一阶段会先安装后门程序,第二阶段会尝试停用防病毒软件,第三阶段会防止用户连上信息安全厂商网站。凡是近年来曾经遭到恶意软件攻击的使用者,对于这些技巧应该都还不算陌生。早期的Bot程序主要是用来远程遥控与信息窃取,但是在模块化与原始码开放之后,变种的数量就大幅增加,功能也大为扩充。慢慢地,恶意软件作者也开始利用数据加密来勒索被害人,并且利用HTTP和SOCKS代理器来将受害计算机用于后续联机用途或者当成FTP服务器来储存非法数据。

  2003年出现的Spybot是先前SDbot的进化版,新增了键盘侧录、数据采矿、垃圾即时消息等功能。同年窜起的还有Rbot,此Bot程序率先采用SOCKS代理器,并且内含DDoS分布式拒绝服务攻击和信息窃取工具。Rbot也是第一个使用压缩和加密算法来躲避侦测的Bot程序家族。同样在2003年首次出现的还有点对点(P2P)Bot网络,叫做Sinit,后来,Agobot模块也纳入这项P2P功能。次年,从Agobot衍生的Polybot首度采用变形(polymorphism)技巧来躲避侦测,该程序会尽可能不断改变自己的样貌。

  此时Bot程序已逐渐扬弃原先的IRC通讯管道,因为防火墙很少会开启这个端口,而且其通讯协议在网络流量当中很容易辨认。因此,Bot程序开始透过HTTP、ICMP和SSL端口来通讯,而且经常使用自定义的协议。此外,它们也持续精进其P2P通讯技巧,这一点我们在五年后的Conficker恶意软件上可以看到。

  本文是《僵尸网络发展历史探讨》系列三篇文章的第一篇,此系列文章将讨论僵尸网络Botnet的发展历史与演变。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • RSAC 2017:IoT安全威胁登话题榜首

    在物联网设备近年来被攻击者滥用后,物联网安全在2017年RSA大会上的话题列表中位列榜首,而安全专家担心的远不止于此……

  • 对付僵尸网络?这两大策略要get住

    最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……

  • 2017:更多IoT攻击堆高数据泄露事故

    不断叠高的数字让企业对这类事故似乎变得有些麻木,实际上这是非常危险的。在新一年,由IoT攻击带来的数据泄露事故或成为最大的安全问题。而目前,企业仍未做好应对威胁形势的准备……

  • 日进300万美元!广告欺诈活动Methbot猖獗到极点

    据最新报告显示,通过生成大量虚假视频广告,大规模网络犯罪行动Methbot每天赚取数百万美元。