Kate Li (Taiwan)的部落格

首頁

ddos botnet常見類型及特點

作者 morcillo 時間 2020-04-06
all

閱讀:10985

幾個常見的DDoS botnet及其特點劉亞周大

利用botnet發起DDoS攻擊依然常見,本文從bot種類、C&C通信協議、DDoS攻擊類型和服務器活躍情况等角度,對我們在過去一年裏跟踪過的幾十個大陸地區的DDoS類型的botnet進行了總結。

引言

以botnet為平臺發起各種形式的攻擊,比如DDOS攻擊、垃圾郵件發送、資訊竊取等,這種現象已存在多年,並且依然受黑產界的青睞,如果關注這方面的新聞會發現幾乎每天都有相關報導出現。因為語言、文化的差异以及網絡管制等原因,不同botnet之間往往具有比較大的差异,體現在規模、地理分佈、”盈利模式”和科技手段等方面,比如在歐美地區比較活躍的ZeroAccess、Zbot、Kelihos等botnet在中國大陸地區就比較少見[1][2];再比如歐美的botmaster常將垃圾郵件發送作為生財手段,但很少見到中國大陸地區的botnet採取類似的盈利模式,倒是出現了不少遊戲盜號、DDOS攻擊類型的木馬。

如果從科技上分析,會發現差別更大:一些”高端”的botnet已經開始採用諸如FastFlux、P2P、公開金鑰認證等這種以往只在正規的大軟件系統中才會採用的複雜科技,以提高其健壯性和隱蔽性,而且會在用戶端方面採取各種奇技淫巧比如bootkit等來提高保護等級3,但也有一些botnet的用戶端簡陋到只是集成了有限的幾條遠控指令,連加殼保護都沒有。

觀察已有的botnet並尋找它們之間的共性是建立分類依據的重要手段,可以幫助我們更好地檢測和防禦通過botnet發起的攻擊。本文將以實際數據為基礎,對近半年來我們曾檢測到的在大陸地區活躍的13種、99個botnet做一些總結,分享一下我們的一些發現。這些botnet均為DDOS攻擊類型。

用戶端總結

bot指botnet的用戶端,在被控主機(俗稱僵屍機器、肉雞)上運行,負責接收和執行botmaster的指令,通常被稱為病毒、木馬(Trojan)或者惡意軟件(malware),與其對應的是由botmaster運行的控制服務器,負責分發指令,常被簡稱為C&C服務器。對botnet的分類通常是依據bot用戶端,比如基於bot家族來源或者所使用的C&C協定來劃分,我們只依據C&C協定對bot進行分類,如果兩個bot的C&C協定相同,即使它們的C&C服務器IP或者埠號不同,或者家族來源不完全一樣,也會被認為是同一種bot。下麵介紹我們對所檢測到的botnet用戶端的一些觀察和總結。

bot種類相對集中

前面提到,我們共檢測到過99個活躍的DDOSbotnet,實際的bot樣本近1000個,但依據C&C協定進行分類後發現只有13種bot,也就是說這99個botnet的控制者先後為他們的botnet分發了近1000個md5各不相同的bot樣本,而這些樣本實際上都只是13個bot的變種而已,有的可能連變種都算不上,只是在每次傳播時修改了樣本中幾個無關緊要的位元組使MD5值發生變化而已。這說明實際中的bot種類遠遠少於bot樣本的數量,新類型的bot沒有那麼多。

錶2.1,bot家族分佈

錶2.1是我們對這13種bot的使用統計,發現被使用最多的是一種名為darkshell.c.2的bot(darkshell.c是其早期版本),有50個這樣的botnet,占所有botnet總數的一般以上,這引起了我們的注意,調查後發現原來darkshell.c這種bot不但具有相對全面的DDOS攻擊功能,更重要的是其作者開放了原始程式碼,任何人都可以免費獲取,這無疑是其出現頻率最高的主要原因。與此類似的是後面將要介紹的RAT軟件gh0st,也是因為其原始程式碼開放導致使用頻率非常高,出現了各種變種。再聯想到來自俄國的臭名昭著的bot軟件zeus,也是因為原始程式碼被洩露以至於很快就出現了各種變種,有人甚至為其添加了P2P和DGA功能[6],由此似乎可以得出結論,開放原始程式碼的bot更受botmaster的歡迎。

C&C通信基於TCP

對這13種bot進行分析發現它們的C&C協定都基於TCP,而且普遍使用長連接,通過TCP的KeepAlive機制實現存活性檢測,未發現基於UDP的C&C協定。猜測這麼做的原因可能是為了簡化程式設計,因為如果要實現基於UDP的C&C協定,需要自己處理丟包、亂序等各種繁瑣問題,遠比使用TCP來的複雜。

TCP和HTTP flood是必備功能

統計發現每種bot都有集成了3種以上的DDOS功能,其中TCP flood和HTTP flood出現頻率最高,有的bot甚至在此基礎上發展出更多的攻擊形式。

使用私有協定

所有13種bot的C&C協定都是私有協定,未發現使用標準的應用層協定(比如HTTP)傳輸指令的情况。各種bot的C&C協定各不相同,但有一些共同點:

樣本普遍加殼

從加殼統計看bot樣本在分發時普遍做了加殼保護,有極個別的未加任何殼,但其botnet並不活躍,估計是處於試運行階段,開發者還未考慮做加殼處理。

有一種bot的樣本雖然未做加殼處理,但採取了加花機制,通過在樣本中添加混淆指令或者混淆原來的執行流程以此新增樣本的逆向分析難度。

均留有後門

儘管主要是用於DDOS攻擊目的,但分析發現這13種bot都保留了後門功能,botmaster能控制僵屍主機下載並執行任意的可執行程式,實現遠程安裝。此外,不少bot都集成了遠程關機、重啓功能,超過一半的bot還集成了C&C IP/port更新功能。

後面將會提到,觀察發現這些後門中使用最多的是下載gh0st RAT工具,讓botmaster完全控制僵屍主機。

伴隨各種gh0st變種

統計下載指令時發現gh0st是下載次數最多的一類軟件,共檢測到644個、41種gh0st樣本,所以有必要專門分析一下。

gh0st本來是國內的一款開源RAT軟件[4],用於遠程電腦管理,其全面的功能加上原始程式碼開放,使其深受黑產界青睞,常被改做木馬使用,以至於出現了各種各樣的gh0st變種[5]。

gh0st通信報文的特點是前面有13位元組的報文頭,裡面包含一個特徵串和兩個長度欄位,報文頭緊跟的是經過zlib壓縮的payload,其壓縮前、後的長度分別由報文頭中的2個長度欄位標識。gh0st變種間的差別在報文上表現為:

圖2.1是我們曾檢測過的gh0st變種,更多的變種資訊可以參考[5]。值得注意的是,我們還發現了多個集成了DDOS攻擊功能的gh0st變種,相關的指令檢測工作正在進行中。

C&C服務器特點

在統計botnet時我們用3元組(bot類型,C&C服務器,C&C運行埠)唯一標識一個botnet,所以botnet種類和botnet個數是1對多的關係。C&C服務器統計主要從功能變數名稱使用、地理分佈、IP地址解析等角度入手,下麵的描述反映了我們對檢測到的89個C&C服務器的分析情况。

大多數C&C服務器分配了功能變數名稱

在檢測到的89個C&C服務器中,只有15個沒有功能變數名稱,其它均分配了功能變數名稱,這說明給C&C服務器分配功能變數名稱在國內是主流,而反觀歐美一些規模比較大的botnet,往往會不分配C&C功能變數名稱,而是直接使用純IP連接。為何有這種差別,現在還不太清楚,需要繼續觀察。

從所使用的功能變數名稱尾碼看,3322.org尾碼的功能變數名稱出現最多,達20個。值得一提的是2012年9月份微軟為了打擊Nitol botnet而”劫持”不少3322.org功能變數名稱,那段時間我們一直觀察的幾個功能變數名稱也在被劫持之列,功能變數名稱都解析到了美國的IP,所以那段時間內新出現的gh0stbot多使用IP連接C&C服務器,而且自那次事件以後,陸續出現了採用新尾碼的C&C功能變數名稱,我們觀察到的非3322.org功能變數名稱大部分自那以後出現。

運行埠非標準

統計發現bot種類和其運行埠不存在綁定關係,而且大部分botnet運行在大於1024的非標準埠上,不到1/3的botnet運行在標準埠上,但均與標準埠本來的使用意圖無關。比如我們發現多個運行在81埠的botnet,該埠本來分配給了Kerberos用於身份認證,但實際的C&C通信與Kerberos完全無關。

C&C功能變數名稱和IP的對應

分析功能變數名稱解析情况時發現實際解析的IP數要大於C&C域名數,實際檢測到的C&C功能變數名稱加C&C IP共有89個,但先後檢測到的C&C服務器IP有212個,這說明C&C功能變數名稱和IP存在1對多的關係。

絕大部分功能變數名稱都會固定的解析到有限的幾個IP上,只有極個別功能變數名稱映射IP較多,比如有1個C&C功能變數名稱在近3個月的時間內曾先後解析到32個不同的IP,現時還不清楚這些IP確實為該botmaster所擁有還是使用了被黑的服務器,但我們確實發現過國外的botnet拿被黑的服務器充當C&C服務器的,先後檢測到其C&C IP有100多個,而且地理上是全世界分佈。

統計還發現存在單個IP對應多個功能變數名稱的情况,這說明同一個botmaster可能運行了多個botnet。

運行和活躍情况

活躍情况主要依據攻擊指令數和攻擊頻率來衡量,我們半年來陸續檢測到27萬多條DDOS攻擊指令,被攻擊目標有1萬7千多個。如果將這些攻擊指令按照24小時分佈統計,可以看出攻擊主要發生在上午10點到晚上12點之間,其中下午是最活躍的時段。

對被攻擊目標分佈統計表明,被攻擊目標主要位於大陸地區,私服和電子商務網站出現比例最高,也有個別政府、教育網站,有意思的是攻擊目標中多次出現了DDOS”服務商”網站。

從具體攻擊參數看,儘管每種bot都集成了多種類型的DDOS攻擊功能,但botmaster明顯只偏愛某幾種類型的攻擊,其中TCP和HTTP flood是使用最多的攻擊手段。

從後門指令的使用看,大部分botnet都檢測到了後門指令,而遠程安裝指令使用最多,共檢測到1萬1千多條,其它的諸如關機、重啓和更新C&C配寘這些功能則極少使用,不超過100條。

從統計看,遠程安裝的內容集中在如下幾種情況:

從後門的使用頻率看botmaster非常希望完全控制僵屍主機,以榨取更多的利益。另外,某些bot儘管可以通過指令將已有bot遷移到新的botnet中(不同的C&C服務器IP和埠),但botmaster更喜歡通過遠程安裝新bot的管道來實現遷移。

總結

本文跟大家分享了我們觀察到的大陸地區一些DDOSbotnet的現象和特點,實際中應該還有不少這類botnet未被觀察到,所以我們不能說這些特點對其它的都適用,但管中窺豹,我們相信在botnet的種類、運維管道、DDOS攻擊的手段等方面,本文所總結的特點應該具有一定的代表性,希望對大家有所幫助。

參攷

1,Over 9 million PCs infected–ZeroAccess botnet uncovered,http://nakedsecurity.sophos.com/2012/09/19/zeroaccess-botnet-uncovered/。

2,Zeus Tracker,https://zeustracker.abuse.ch/。

3,Win32/Gapz: New Bootkit Technique,http://blog.eset.com/?p=16288。

[4],Gh0st,紅狼安全小組,http://www.wolfexp.net/。

[5],The many faces of Gh0st Rat,http://www.norman.com/about_norman/press_center/news_archive/2012/the_many_faces_of_gh0st_rat/en/。

[6],Zeus(Trojan horse),http://enc.tfode.com/Gameover_%28trojan_horse%29。

《DDoS botnet常見類型及特點》文章下載DDOS botnet常見類型及特點