1.黑灰产的僵尸僵尸教程廉价“温床”—跑分平台
2.你知道吗?这些简单方法能让你的网站安全防护水平翻倍!
3.黑雀攻击-揭秘“Death”僵尸网络背后的网络网络终极控制者(下篇)
4.僵尸网络是什么网络
5.互联网巨头都恼火的5大僵尸网络,敛财无数。源码源码
6.如何创建自己的搭建Tracker
黑灰产的廉价“温床”—跑分平台
1. 数字世界中,一款名为“恒安嘉新App”的僵尸僵尸教程现象引起了关注,其中隐藏着一个黑灰产温床—跑分平台。网络网络java 网络源码下载
2. 该应用的源码源码年轻用户群体活跃,运作机制复杂,搭建令人忧虑。僵尸僵尸教程
3. 平台通过正常账户赚取佣金,网络网络发展代理网络,源码源码形成灰色产业链。搭建
4. 跑分平台成本低,僵尸僵尸教程公开源码,网络网络如“开心赚”APP,源码源码作者深海在淘宝开店,引流。
5. 作者刘海君是前端开发者,运营微信小程序学习平台。
6. 服务器分析发现部分IP地址与垃圾邮件、僵尸网络有关,后台地址指向可疑网址。
7. 跑分平台可能泄露个人隐私,如微信、支付宝账户信息,可能被非法市场贩卖。
8. 平台可能诱骗用户缴纳押金,导致账户被封禁,违反《刑法》第一百九十一条。
9. 跑分平台利用用户信息非法获利,个人、财产安全及法律风险面临挑战。
. 用户应警惕伪基站信息,从源头做起,确保软件来源合法,避免非法下载。
. 银行和支付平台需加强用户资金保护,谨慎使用借贷App。
. 安全提示:强化对伪基站信息的辨识能力,银行和支付平台强化用户信息安全,谨慎使用借贷应用程序。
你知道吗?这些简单方法能让你的网站安全防护水平翻倍!
在互联网时代,网站成为企业宣传、服务客户的窗口与载体,承载着重要信息,因此网站安全防护变得至关重要。面对黑客的多样化攻击手段,企业应采取措施,确保网站安全,从而保护企业形象与客户信任。
网站安全具有重要性,保护企业信息不被破坏或泄漏,避免因攻击导致的口碑受损及经济损失。因此,做好网站安全工作,成为提升企业声誉与客户信任的关键。
常见网络攻击手段包括XSS攻击、SQL注入攻击、CSRF攻击、DDoS攻击。XSS攻击利用网页未转义的用户输入导致用户遭受攻击,SQL注入攻击通过构造特定SQL语句窃取数据库信息,CSRF攻击**用户身份进行未授权操作,asyncio源码DDoS攻击通过僵尸网络对目标网站进行攻击,导致服务器资源紧张或崩溃。
预防网络攻击,企业需美化源代码、使用安全加密、做好日志监控、控制操作权限。采用主动扫描、被动扫描、探测扫描进行安全测试,确保网站安全性。常用安全技术包括Web应用程序防火墙(WAF)、内容分发网络(CDN)、DDoS防护、静态资源分离。
网站维护流程包括搭建前设计安全策略、权限分配、数据加密,上线后定期扫描、记录日志、更新维护,以及定期备份、补丁更新、密码修改等常用操作。网站安全需持续关注与投入,从管理、员工、用户多方面共同努力,确保网站安全与稳定。
综上,网站安全防护需要企业、员工、用户共同参与,重视安全投入,提升安全意识,持续优化安全措施,从而确保网站安全与可靠运行。
黑雀攻击-揭秘“Death”僵尸网络背后的终极控制者(下篇)
揭示“Death”僵尸网络背后的终极控制者黑雀攻击(下篇)
深入剖析黑雀网络控制结构,我们了解到大黑雀是近个僵尸网络的幕后操纵者,这些网络分布在多个主机上,其中 leiyan.hk 和 www.lxi3.com 控制的僵尸网络最多。"Death"的不同版本,Q版和NB版,展示了黑雀的复杂操控策略。
Q版大黑雀虽然曾通过qlsb.f.net活跃,但该域名已被CNCERT处置,无法追踪其控制端。然而,其编译的僵尸程序代码仍在黑客链中被使用,显示了黑雀的持久影响。Q版黑雀画像中,黑客如缪思、yanke和刘科科等,他们的行为涉及诈骗、DDoS攻击和后门植入,网络活动范围广泛。
NB版黑雀则通过精心设计的后门C&C进行控制,其上线时间策略增加了追踪难度。样本分析揭示了僵尸程序的多种功能,包括内网感染、远程控制和恶意代码执行,攻击手法复杂,对资源消耗大。javaFormatter源码
同源性分析指出,"Death"与鬼影DDoS v8和Nitol僵尸网络高度相似,可能源于同一份源码。黑雀攻击模式在其他僵尸程序中也有发现,预示着此类威胁的普遍性。总结来看,黑雀攻击不仅威胁着"Death",也对整个网络安全构成挑战,后续将继续关注其他类似攻击类型。
僵尸网络是什么网络
僵尸网络
Botnet
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。
Botnet
首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事实上,synchronize源码点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。
专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动。多数时候,僵尸电脑的根本不晓得自己已被选中,任人摆布。
僵尸网络之所以出现,在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
网络专家称:“重要的硬件设施虽然非常重视杀毒、防黑客,但网络真正的安全漏洞来自于住家用户,这些个体户欠缺自我保护的知识,让网络充满地雷,进而对其他用户构成威胁。”
Botnet的发展过程
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
世纪年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。
年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。著名的有年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。
从良性bot的幻境源码出现到恶意bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。
Botnet的工作过程
Botnet的工作过程包括传播、加入和控制三个阶段。
一个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。
(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
(4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马。伪装成有用的软件,在网站、FTP 服务器、P2P 网络中提供,诱骗用户下载并执行。
通过以上几种传播手段可以看出,在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。
在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。
Botnet的分类
Botnet根据分类标准的不同,可以有许多种分类。
按bot程序的种类分类
(1)Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过种已知的不同版本的Agobot(Sophos 病毒分析),这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计,以模块化的方式组合,添加命令或者其他漏洞的扫描器及攻击功能非常简单,并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的,因为它包含了监测调试器(Softice 和ODbg)和虚拟机(VMware 和Virtual PC)的功能。
(2)SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件,SDBot 由C语言写成。它提供了和Agobot 一样的功能特征,但是命令集没那么大,实现也没那么复杂。它是基于IRC协议的一类bot程序。
(3)GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的,GT是(Global Threat)的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC 脚本连接到指定的服务器频道上,等待恶意命令。这类bot程序由于捆绑了mIRC程序,所以体积会比较大,往往会大于1MB。
按Botnet的控制方式分类
(1)IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet,形成这类Botnet的主要bot程序有spybot、GTbot和SDbot,目前绝大多数Botnet属于这一类别。
(2)AOL Botnet。与IRC Bot类似,AOL为美国在线提供的一种即时通信服务,这类Botnet是依托这种即时通信服务形成的网络而建立的,被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。
(3)P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端,可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器,利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接,就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信,而当有一些bot被查杀时,并不会影响到Botnet的生存,所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。
Botnet的危害
Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型,Botnet还可能被用来发起新的未知攻击。
(1)拒绝服务攻击。使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于Botnet可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。
(2)发送垃圾邮件。一些bots会设立sockv4、v5 代理,这样就可以利用Botnet发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。
(3)窃取秘密。Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
(4)滥用资源。攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,Botnet无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少Botnet的危害。
Botnet的研究现状
对于Botnet的研究是最近几年才逐渐开始的,从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发,将其视为一种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。著名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从 年开始,在其每半年发布一次的安全趋势分析报告中,以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出,僵尸程序的盛行是年病毒领域最重大的变化。
学术界在年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析,如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在年月到 年1月通过部署Win蜜罐机发现并对近个Botnet进行了跟踪,并发布了Botnet跟踪的技术报告。
Botnet的一个主要威胁是作为攻击平台对指定的目标发起DDos(分布式拒绝服务攻击)攻击,所以DDos的研究人员同样也做了对Botnet的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中,分析了基于IRC协议的bot程序的行为特征,在网络流量中择选出对应关系,从而检测出Botnet的存在。该组织的这个研究方法通过在plantlab中搭建一个Botnet的实验环境来进行测试,通过对得到的数据进行统计分析,可以有效验证关于Botnet特征流量的分析结果,但存在着一定的误报率。
国内在年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在年1月开始实施用蜜网跟踪Botnet的项目,对收集到的恶意软件样本,采用了沙箱、蜜网这两种各有优势的技术对其进行分析,确认其是否为僵尸程序,并对僵尸程序所要连接的Botnet控制信道的信息进行提取,最终获得了, 多个僵尸程序样本分析报告,并对其中多个仍然活跃的Botnet进行跟踪,统计出所属国分布、规模分布等信息。
国家应急响应中心通过-网络安全监测平台,在年共监测到的节点大于个的Botnet规模与数量统计如图4所示。
这些数据和活动情况都说明,我国国内网上的Botnet的威胁比较严重,需要引起网络用户的高度重视。
CCERT恶意代码研究项目组在年7月开始对Botnet的研究工作,通过对大量已经掌握的Botnet的实际跟踪与深入分析,对基于IRC协议的Botnet的服务器端的特征进行了分类提取,形成对于Botnet 服务器端的判断规则,从而可以对网络中的IRC Server进行性质辨别。设计并初步实现了Botnet自动识别系统,应用于中国教育和科研计算机网络环境中。
可以看出,从国内到国外,自年以来对Botnet的研究越来越多地受到网络安全研究人员的重视,研究工作已经大大加强。但是这些工作还远远不够,在检测和处置Botnet方面还有许多工作要做。
Botnet的研究方法
对于目前比较流行的基于IRC协议的Botnet的研究方法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。
(1)使用蜜网技术。蜜网技术是从bot程序出发的,可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到Botnet中去,当确认其确实为Botnet后,可以对该Botnet采取相应的措施。
(2)网络流量研究。网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸计算机一般会长时间在线;三是僵尸计算机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第一种行为特征归纳为快速加入型,将第二、三种行为特征归纳为长期发呆型。
研究对应这两类僵尸计算机行为的网络流量变化,使用离线和在线的两种分析方法,就可以实现对Botnet的判断。
(3)IRC Server识别技术的研究。通过登录大量实际的基于IRC协议的Botnet的服务器端,可以看到,由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时,通过对bot源代码的分析看到,当被感染主机加入到控制服务器时,在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结,就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则,这样就可以直接确定出Botnet的位置及其规模、分布等性质,为下一步采取应对措施提供有力的定位支持。
以上三种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少,原因是由于其实现比较复杂,在网络中并不占有太大比例,同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展,对于P2P结构的Botnet的研究也将进一步深入。
互联网巨头都恼火的5大僵尸网络,敛财无数。
互联网巨头们头疼的五大僵尸网络,敛财无数
全球范围内活跃着五种引人关注的僵尸网络,它们凭借高感染、收益、知名度和生命力,对网络安全构成严重威胁。这些网络的影响程度,主要通过四个关键指标衡量:感染主机数量、收益能力、公众认知和生存抗打击性。 1. **ZeroAccess**:作为最知名且活跃的僵尸网络之一,其感染度9♥,收益9♥,知名度9♥,生命力9♥,总体危害度9♥。它利用先进的rootkit技术和P2P架构,收益主要来自点击欺诈和比特币挖掘,每天估计收入高达万美元。 2. **Zeus**:作为史上收益最多的网络,尽管年源码泄露导致变种剧增,但其感染度8♥,收益8♥,知名度9♥,生命力9♥,危害度8♥。该网络曾窃取数百万美元,对金融安全影响深远。 3. **Pushdo/Cutwail**:作为垃圾邮件主要载体,感染度6♥,收益8♥,知名度7♥,生命力9♥,危害度7♥。它通过定制恶意软件和Cutwail的传播,控制者从中获利达万至万美元。 4. **Mariposa(蝴蝶)**:以窃取数据和DDoS攻击闻名,感染度9♥,收益7♥,知名度6♥,生命力4♥,危害度7♥。尽管已被摧毁,但其影响范围广,损失难以估量。 5. **Waledac**:以垃圾邮件发作为主,感染度6♥,收益6♥,知名度7♥,生命力4♥,危害度5♥。在国际联合打击下,虽有复苏迹象,但损失数据暂未公开。 了解了这些僵尸网络,我们下期将深入探讨它们的构成和防护措施。同时,可关注我们的资源:多本网络安全电子书
网络安全标准题库资料
项目源码
网络安全入门、Linux、web安全、攻防视频
网络安全学习路线图
公众号:哈哈哈我是小帅皮
如何创建自己的Tracker
在某天的浏览中,我偶然发现了abuse.ch网站,这个网站收集用户提交的恶意/可疑URL,其中某推特用户Gandylyan1每日上传大量名为Mozi的恶意软件样本,引发了我对构建一个针对此僵尸网络的Tracker的兴趣。
尽管我的Linux知识仅限于知道ls -la命令功能,但我决定为僵尸网络构建一个Tracker。我通过搜索发现了一个由Intezer创建的工具,这是一个小型的Python项目,能够帮助研究人员通过模拟OS环境来伪造受恶意软件感染的客户端,无需蜜罐或虚拟机,仅关注恶意软件通信协议。
在GitHub上搜索开源恶意软件,我发现了Quasar,一款开源RAT,通过研究Quasar,可以深入了解恶意软件的工作原理和网络相关功能。这为我构建Tracker提供了理想的起点。
为了深入了解Quasar源码,我使用Visual Studio Community加载下载的Quasar源代码。首先,我关注客户端代码及其协作方式,以及如何与其他对象交互。通过分析源代码,我逐步探索了Quasar的工作机制,包括客户端如何与服务器通信、如何管理事件、如何处理连接和认证过程。
通过逆向工程Quasar源码,我理解了其如何通过SSL流与服务器通信,以及如何构建和发送消息。我注意到,消息的构建涉及到序列化过程,Quasar使用了由Google开发的Protobuf进行序列化。我利用Python生成了与Quasar客户端生成的消息相匹配的消息,通过分析消息长度和内容,我能够构建出有效的通信链路。
此外,我还为Intezer的Puppets创建了一个Quasar插件,以模拟OS环境,这使得研究人员能够快速追踪恶意软件。通过创建和使用自定义插件,研究人员能够与多个客户端交互,接收和发送消息,进而分析和追踪恶意活动。
通过这些步骤,我不仅成功构建了针对Mozi僵尸网络的Tracker,还深入理解了恶意软件的工作原理和网络通信机制。这一过程不仅提升了我对于恶意软件分析和追踪的能力,也为安全研究人员提供了重要的工具。
åµå°¸ç½ç»çåç±»ä»ç»
ï¼1ï¼Agobot/Phatbot/Forbot/XtremBotãè¿å¯è½æ¯æåºåçåµå°¸å·¥å ·ãé²ç æ¯ååSpphos ååºäºè¶ è¿ç§å·²ç¥çä¸åçæ¬çAgobot(Sophos ç æ¯åæ)ï¼è¿ä¸ªæ°ç®ä¹å¨ç¨³æ¥å¢é¿ãåµå°¸å·¥å ·æ¬èº«ä½¿ç¨è·¨å¹³å°çC++åæãAgobot ææ°å¯è·å¾ççæ¬ä»£ç æ¸ æ°å¹¶ä¸æå¾å¥½çæ½è±¡è®¾è®¡ï¼ä»¥æ¨¡ååçæ¹å¼ç»åï¼æ·»å å½ä»¤æè å ¶ä»æ¼æ´çæ«æå¨åæ»å»åè½é常ç®åï¼å¹¶æä¾åæ件åè¿ç¨éèçRootkit è½åå¨æ»é·ä¸»æºä¸éèèªå·±ãå¨è·åè¯¥æ ·æ¬å对å®è¿è¡éåå·¥ç¨æ¯æ¯è¾å°é¾çï¼å 为å®å å«äºçæµè°è¯å¨(Softice åODbg)åèææºï¼VMware åVirtual PC)çåè½ãï¼2ï¼SDBot/RBot/UrBot/SpyBot/ãè¿ä¸ªå®¶æçæ¶æ软件ç®åæ¯ææ´»è·çbotç¨åºè½¯ä»¶ï¼SDBot ç±Cè¯è¨åæãå®æä¾äºåAgobot ä¸æ ·çåè½ç¹å¾ï¼ä½æ¯å½ä»¤é没é£ä¹å¤§ï¼å®ç°ä¹æ²¡é£ä¹å¤æãå®æ¯åºäºIRCåè®®çä¸ç±»botç¨åºã
ï¼3ï¼GT-BotsãGT-Botsæ¯åºäºå½åæ¯è¾æµè¡çIRC客æ·ç«¯ç¨åºmIRCç¼åçï¼GTæ¯ï¼Global Threatï¼ç缩åãè¿ç±»åµå°¸å·¥å ·ç¨èæ¬åå ¶ä»äºè¿å¶æ件å¼å¯ä¸ä¸ªmIRCè天客æ·ç«¯, ä½ä¼éèåmIRCçªå£ãéè¿æ§è¡mIRCèæ¬è¿æ¥å°æå®çæå¡å¨é¢éä¸ï¼çå¾ æ¶æå½ä»¤ãè¿ç±»botç¨åºç±äºæç»äºmIRCç¨åºï¼æ以ä½ç§¯ä¼æ¯è¾å¤§ï¼å¾å¾ä¼å¤§äº1MBã
ï¼1ï¼IRC Botnetãæ¯ææ§å¶åéä¿¡æ¹å¼ä¸ºå©ç¨IRCåè®®çBotnetï¼å½¢æè¿ç±»Botnetç主è¦botç¨åºæspybotãGTbotåSDbotï¼ç®åç»å¤§å¤æ°Botnetå±äºè¿ä¸ç±»å«ã
ï¼2ï¼AOL Botnetãä¸IRC Bot类似ï¼AOL为ç¾å½å¨çº¿æä¾çä¸ç§å³æ¶éä¿¡æå¡ï¼è¿ç±»Botnetæ¯ä¾æè¿ç§å³æ¶éä¿¡æå¡å½¢æçç½ç»è建ç«çï¼è¢«ææ主æºç»å½å°åºå®çæå¡å¨ä¸æ¥æ¶æ§å¶å½ä»¤ãAIM-CanbotåFizzerå°±éç¨äºAOL Instant Messagerå®ç°å¯¹Botçæ§å¶ã
ï¼3ï¼P2P Botnetãè¿ç±»Botnetä¸ä½¿ç¨çbotç¨åºæ¬èº«å å«äºP2Pç客æ·ç«¯ï¼å¯ä»¥è¿å ¥éç¨äºGnutellaææ¯ï¼ä¸ç§å¼æ¾æºç çæä»¶å ±äº«ææ¯ï¼çæå¡å¨ï¼å©ç¨WASTEæä»¶å ±äº«åè®®è¿è¡ç¸äºéä¿¡ãç±äºè¿ç§åè®®åå¸å¼å°è¿è¡è¿æ¥ï¼å°±ä½¿å¾æ¯ä¸ä¸ªåµå°¸ä¸»æºå¯ä»¥å¾æ¹ä¾¿å°æ¾å°å ¶ä»çåµå°¸ä¸»æºå¹¶è¿è¡éä¿¡ï¼èå½æä¸äºbot被æ¥ææ¶ï¼å¹¶ä¸ä¼å½±åå°Botnetççåï¼æ以è¿ç±»çBotnetå ·æä¸åå¨åç¹å¤±æä½å®ç°ç¸å¯¹å¤æçç¹ç¹ãAgobotåPhatbotéç¨äºP2Pçæ¹å¼ã