僵尸程序

与浮在表面而广受关注的间谍软件、广告软件、垃圾邮件不同，僵尸程序往往不受注意，其实，它们是散发间谍软件、广告软件、垃圾邮件的罪魁祸首，已经被列为对个人用户及企业 威胁不断增加的一种安全危害。

僵尸网络（Botnet），是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

僵尸程序在Botnet的概念中有这样几个关键词。首先bot程序是robot的缩写，是指实现恶意控制功能的程序代码；僵尸计算机，就是被植入bot的计算机；control server 是指控制和通信的中心服务器，在基于IRC协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

我们可以这样理解Botnet。首先Botnet是一个可控制的网络，这个网络并不是指我们物理意义上具有拓扑架构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行bonnet的传播，从这个意义讲恶意程序bot也是一种病毒或蠕虫。最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行DDos攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

根据最新的全球互联网安全统计报告显示，中国互联网用户以20%的BOT（僵尸网络）感染率成为全球感染BOT程序最多的国家，而北京、广州两城市则是全球感染BOT程序用户数的头两名。

僵尸程序（Bot程序）里的bot是robot（机械人）的缩写，是指实现恶意控制功能的程序代码，是一段可以自动履行预先设定功效，可以被掌握，具有一定人工智能的程序。普通带有恶意代码的Bot被奥秘植入受控计算机，主动衔接服务器承受掌握指令，并按照指令完成呼应功效。僵尸程序（Bot程序）是散发间谍软件、 广告软件、垃圾邮件的罪魁祸首，已经被列为对个人用户及企业威胁不断增加的一种安全危害。

僵尸计算机（Zombie）指被植入bot的计算机，即指被包含恶意代码的Bot传染或能被远程掌握的计算机，又名僵尸计算机。僵尸电脑是指被黑客程序控制从而进行犯罪活动的电脑，全球有上千万台被黑客程序控制的电脑 ，其中很大一部分来自中国。

僵尸网络（Botnet）是指接入互联网的计算机被病毒感染后，受控于黑

僵尸程序(9)

客，可以随时按照黑客的指令展开拒绝服务（DoS），攻击或发送垃圾信息，而用户却毫不知情，就仿佛是没有自主意识的僵尸一般。当这样的计算机达到一定数量后，就会形成一个庞大的网络，因此被称为“僵尸网络”。

僵尸网络（Botnet），是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

首先，Botnet是一个可控制的网络，这个网络并不是指我们物理意义上具有拓扑架构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击， 邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行bonnet的传播，从这个意义讲恶意程序bot也是一种病毒或蠕虫。

最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行DDos攻击，同时发送大量的垃圾邮件等，正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

根据最新的全球互联网安全统计报告显示，中国互联网用户以20%的BOT（ 僵尸网络）感染率成为全球感染BOT程序最多的国家，而北京、广州两城市则是全球感染BOT程序用户数的头两名。

网络僵尸由大量可以实现恶意功效的Bot、Command & Control Server和掌握者构成，可以受攻击者掌握的网络。攻击者在公开或奥秘的IRC服务器上开辟私有的聊天频道作为掌握频道，僵尸程序中预先已经设定好这些信息，当僵尸计算机运行时，僵尸程序就自动搜索并衔接到这些掌握频道，接纳频道中的全部信息，这样就构成了一个IRC协议的僵尸网络。攻击者通过IRC服务器，向整个僵尸网络内的受控节点发送掌握号令，操作这些"僵尸"举行破坏大概盗取行为。普通频道设置为隐秘并加上密码避免非Bot用户进入，如图所示。

中心服务器（control server）是指控制和通信的服务器，在基于IRC协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

IRC Bot：操纵IRC协议举行通信和掌握的Bot。普通，IRC Bot衔接预定义的服务器，加入到预定义的频道中，接纳经过认证的掌握者发出的号令，履行呼应的操作。应用IRC协议实现Bot、服务器和掌握者之间的通信和掌握具有很多上风，因此目前绝大大都的Bot都基于IRC协议。 IRC Bot衔接的IRC服务器称为号令和掌握服务器，掌握者通过该服务器发送号令，举行掌握。

AOL Bot：登陆到特定的AOL服务器等候掌握者发送指令。AIM-Canbot和Fizzer就采取这种方法。

图-1 基于IRC协议的僵尸网络构造

                                                                图-1 基于IRC协议的僵尸网络构造

僵尸程序僵尸程序可以通过木马、蠕虫举行传达。普通表现为在蠕虫体内包含Bot，僵尸程序和木马有着功效的类似性——远程掌握计算机，但在功效实现上略有辨别，僵尸程序都能冲破内网和防火墙限制，这是传统正向衔接的木马无法比较的。僵尸程序利用特有的IRC协议下的DCC号令大概其他载体举行传达，由于预设指令的存在，传达历程更显主动，且受传染的电脑仍受掌握，这也比木马高超些。当蠕虫成功传染计算机时，就释放出Bot;大概当木马、蠕虫成功侵入电脑后，从网上下载恶意Bot到本地主机。僵尸程序与蠕虫最大的辨别就在于蠕虫具有主动传达性，别的蠕虫的攻击行为不受人掌握，而相反僵尸程序的存在就是为了使得攻击者可以掌握受传染的电脑。

特工软件被用来盗取用户敏感信息，而僵尸程序也能实现这一功效，还能下载特工软件到受影响主机。^[1]

僵尸程序与木马、蠕虫、特工软件的异同，如下表：

僵尸程序 (bot) 伺机而动，等待漏洞的出现。在等待期间，它们会养精蓄锐， 

僵尸程序入侵(21)

一旦时机成熟，就会发动全面入侵。 这并不是一场有趣的星球大战， 僵尸程序 (bot) 是真实存在的威胁。它们受黑客控制，不断寻求各种方式来攻破企业防御。黑客之所以喜欢僵尸程序 (bot)，是因为它们功能强大、易于使用，而且非常普遍。只需进行相对较少的编程，即可创建并控制大量“忠实”的僵尸程序 (bot)。 而且，您企业内的许多计算机可能就是黑客僵尸网络( botnet) 的一分子。防范攻击并不容易，但可以通过建立良好的网络安全性达到这一目的。

成千上万台被感染的计算机组成的僵尸军团，可以在统一号令下同时对网络的某个节点发动攻击，从而具备攻城拔寨的强大破坏力。根据赛门铁克（Symantec）的《互联网威胁》报告 调查显示，每天有3万台个人电脑被“招揽”进入僵尸网络。最高的记录是一天7.5万台。

实际上，在此之前，国家计算机网络应急技术处理协调中心（CNCERT/CC）副总工程师杜跃进博士就曾说过，僵尸网络是我国目前面对的非常重严峻的信息安全威胁，国家计算机网络 应急技术处理协调中心之前发现的“口令蠕虫”，就是黑客在利用蠕虫构建“僵尸网络”。国内已 发现的大规模僵尸网络一次可以操控10万台以上的电脑，这的确是一个令人触目惊心的数字 。

去年，公安部在国家计算机网络应急技术处理协调中心（CNCERT/CC）的协助下，一举捣毁 了一个涉及近十万台计算机的僵尸网络（详情请见后文“法律面对网络犯罪也不留情”）。此事 件一经披露，立即震惊世界。僵尸网络这一新兴的互联网威胁，也由此开始进入人们的视野 ，并立即让全球网络进入新的警戒状态。

不论是对网络安全运行、还是用户数据安全的保护，僵尸网络都极具威胁。然而，发现僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，而这些主机 的用户并不知情。因此，僵尸网络目前是互联网上黑客最青睐的作案工具，是需要重点跟踪研究的网络安全三大主要威胁之一（另外两大威胁是网络钓鱼和漏洞），是目前国际网络安全领域十分关注的重点问题。

最新一期的赛门铁克《互联网安全威胁》报告也显示，去年上半年，全球僵尸网络增加了 143%。其中，英国有32%的计算机已经成为僵尸计算机，位居第一；美国僵尸计算机的比例 为19%，位居第二；而中国的僵尸计算机比例也已达到7%，位居第三。

报告发现，僵尸网络和僵尸代码正在被一些僵尸网络的控制者为获取商业利益而出租或出售 ，而利用僵尸网络的人或者企业，则可以为了窃取用户的机密信息，而散发一些垃圾邮件、 Phishing邮件、间谍软件、广告软件等，甚至进行各种拒绝服务攻击。僵尸计算机一旦被人控制，由于数量惊人，产生的破坏力也是惊人的。

CipherTrust公司也有调查数据显示，每天约有15万～17万新的僵尸程序出现。其中有15%～ 20%来自中国。中国与美国交替名列僵尸程序感染源数量的榜首。

僵尸程序主要攻击对象是那些安装了 Windows 操作系统的电脑，个人宽带连接，政府、教育和企业组织。通过他们来散发垃圾邮件，盗取信息以及败坏他人名誉。很多组织和机构已经为黑客所掌握，原因是这些组织通常对自己的网络缺乏控制。政府和机构组织可能比自己想象中更缺少对自身网络的控制，这使得他们的网络通常成为病毒作者所青睐的对象，成为僵尸电脑的散发途径。

1、攻击者通常借助木马等软件程序，获取对僵尸电脑的控制。

2、被利用来散发垃圾邮件，盗取信息，行业间谍，洗钱以及DoS攻击或威胁。

3、被劫持的电脑会冒充某家公司的IP地址和名称，散发垃圾邮件，进而给这家公司的品牌和声誉造成严重的损害。

4、宿主电脑被列入垃圾邮件发送者的黑名单并且被邮件接收者所屏蔽。

5、信息和身份被盗取。如果邮件中包含色情或包含对收件人有所冒犯的内容，旨在盗取密码和其它数据。

受僵尸程序 (bot) 控制的系统通常会在 网络端口进行“监听”。 监控异常的网络连接（如桌面系统如同服务器一样工作），或者对内部网络进行计算扫描，您就能够监控到僵尸程序 (bot) 的这种行为。

此外，数据包内容分析以及在边界进行流量分析，都能让您尽早发现威胁。

了解网络正常的通信方式，在僵尸程序 (bot) 造成破坏之前采取防御措施。

能够复制并通过网络发送的攻击表明僵尸程序 (bot) 正在运行。 也许企业没有使用边界 防火墙来限制网络连接，但是您可以通过调节 入侵检测系统(IDS) 或 入侵防御系统(IPS)，识别控制端口上的可疑袭击指令，

并观察异常的信号。 较常用的方法是，通过 IDS 利用签名查找恶意软件。 在开放源代码规则数据库中可以得到这些签名，但新的僵尸程序 (bot) 更加智能，致使这种检测毫无用处。

常用的加密软件、防火墙和杀毒工具都非常有用。这些措施可极大地保护解决方案的安全，但是无法抵御大规模拒绝服务 (DDoS) 的攻击。

反垃圾过滤器也许有助于消除 垃圾邮件和钓鱼攻击技术，但对僵尸程序 (bot) 来说，就显得力不从心了。最佳防御手段是培训。员工需要确切地了解安全性和恶意攻击的方式。

了解恶意软件的基础知识有助于企业了解攻击者是如何将主机作为 僵尸网络(botnet) 的。 我们可以利用这种反攻击知识，与僵尸程序 (bot) 展开抗衡。

当网络接口受到控制时，与网络设备通信就成为了主要难题。 如果企业创建了带外控制机制，那么此时可以进行远程操作。 实施这种预防措施后，还可以发送电子邮件。

当攻击发生时，还能够通过增强意外响应能力，迅速对设备进行重新控制。

最佳的防御手段是在僵尸程序 (bot) 入侵之前，主动做好防御。

对网络中可能出现的网络钓鱼攻击和受到感染的僵尸机器提供实时的监控和警示，主动跟踪僵尸机器和网络钓鱼攻击。

采用下列几种方法：

1、企业风险评估，即识别并找出公司名称不论是全球范围内还是特定的纵向市场中在欺诈信息中被盗用的特定事例；

2、内部威胁监控，即允许企业对内部IP地址和域进行监控，对企业所有信息发送者进行审查并监控所有不正常的活动，因为这些非正常活动往往不是受到感染的僵尸机器的行为就是违反内部IT使用策略的行为；

网络实时监控示意图3、实时警示，即根据实际情况发送通知，当出现可疑活动或者有网络钓鱼企图盗用企业名称进行欺诈的行为时给予警示；

4、辅助调查，即辅助进行欺诈行为调查，识别利用企业进行网络钓鱼的企图。

安全防护是一个多层次的保护机制，它既包括企业的安全策略，又包括从防火墙、防病毒到入侵防护系统 (IPS) 的技术解决方案。其中，IPS 是一个不可或缺的保护层，它既能够防止员工违反企业的安全策略，又能够有效地检测来自外部的威胁，例如潜在的 Slammer 蠕虫或拒绝服务 (DoS) 攻击，以及黑客控制电脑后造成的僵尸网络威胁

IntruShield 广泛的攻击检测范围使得任何一种未知攻击都很难触及到用户的网络，多种检测方法层层把关，决不会漏掉任何一个未知的攻击。新出现的病毒可能尚未包含在病毒签名数据库中，但异常检测功能却能够及时地发出有关该病毒的警报。

把“僵尸网络”作为独立的攻击分类来集中解决，并且主动阻断他们的通信和安装的厂商。利用附加层的防护，不仅能够防护bot的漏洞，而且能够通过互联网阻断bot的通信或激活。简洁实用的分析结果有效降低监控和分析 IDS 数据所需的成本。降低误报率，提升系统的安全性。IntruShield 具有多个端口，同一个传感器可以同时监控多个网段。在同一个传感器上应用了多种入侵预防策略。IntruShield 产品并不是针对所有的 Web 服务器采用统一的安全策略，相反，其虚拟IDS（VIDS）功能使得该公司的安全管理人员能够针对每一种 Web 服务器和每种操作系统创建特定的入侵检测策略，而且能够在同一个传感器上运行所有这些策略。IntruShield 使得用户能够更加细致地控制每一种入侵预防策略，不仅可以实现更为广泛的攻击检测范围，而且需要管理的设备数量和需要评审的日志文件数量都显著减少。

一项名为“port 25 blocking”（“端口25阻止”）的技术可以确认用户的电脑只发送来自自己服务器的电子邮件，而不是发送垃圾邮件服务器生成的邮件。使用比例控制等技术，以限制一名用户所能够发送的电子邮件信息的数量。

加强教育，要求人们在连接到网络上之前，扫描自己的电脑，寻找是否存在已知的安全漏洞。这样做能够帮助阻止所谓的推送安装，即当电脑用户使用没有安装补丁的浏览器浏览某一恶意网站时，僵尸代码利用漏洞将自己植入电脑。切断不能采取防护措施的用户，不让他们连接到互联网。越来越多没有技术背景的人开始上网。如果你想做一个成功的ISP，你就必须手把手地指导这些用户。Cox积极地监视着自己的网络，以发现潜在的恶意行为。它还能够防范已知的僵尸程序并且切断远程控制渠道。僵尸程序等待主人从Internet Relay Chat渠道发来的指令。Cox阻止了僵尸程序所使用的IRC服务器，这通常不是使用IRC网络，而经常是运行在一台被感染的电脑上。当发现了一个僵尸程序，Cox将会把受感染的电脑从网络中断开。用户将会被引导到一个特殊的页面，该页面里是一些关于计算机安全的信息，而同时，他将不能访问互联网。用户需要安全的互联网服务，如果一家ISP不能符合安全标准，用户将会流失到竞争对手那里去。技术是互联网公司赖以确认僵尸程序的保障。如果一家ISP的网络中大批滋生僵尸电脑，其他的供应商将会阻止来自该网络来的通信。如果你不保护自己的网络，那么其他供应商就不会和你连接，发现僵尸程序对于ISP来说是最容易做到的。当发现一台被感染了的电脑以后，ISP可以做得更多，然后应该通知用户。ISP能够阻止僵尸程序被安装到电脑上，但他们还有很长的路要走。ISP可以通过断网来要求甚至强制用户保持电脑干净，这种压力需要ISP自己去施加。

无论是通过外部网访问 Web 应用程序的 B2B 客户，还是在家中工作的内部员工，保护他们免受内部和外部攻击已不再单单是一项工作任务，而已成为关系到企业名誉的大事。IntruShield 带来了战略性的优势，它能够全方位地保护免受内部和外部攻击的侵扰。^[2]

1、网络端防护

对外部的网络连接和信息传递进行监控。僵尸网络是综合传播的结果，阻挡僵尸网络，也应从运营商的骨干网络入手，才能获取最佳的效果。全球的企业需要他们的服务供应商提供更多的抵御僵尸网络，以及由此带来的DoS保护功能。当一个运营商能够有效地阻挡僵尸网络，远离拒绝服务攻击，对其客户网络的影响就减少了。此外，在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载，从而可以大量节省成本。

2、客户端防护

对内部的终端行为进行管理。在利润的诱惑下，黑客们出租僵尸电脑给高价竞标的买主，从事商业破坏、垃圾邮件散播、阻断服务攻击，还会搜寻未修补漏洞的电脑加以入侵。在用户端缺乏防范是造成这种情况的重要因素。因此，用户应该对客户端的安全防范给予足够重视 。

能够复制并通过网络发送的攻击表明僵尸程序 (bot) 正在运行。 也许企业没有使用边界防火墙来限制网络连接，但是您可以通过调节入侵检测系统(IDS) 或入侵防御系统(IPS)，识别控制端口上的可疑袭击指令，

并观察异常的信号。 较常用的方法是，通过 IDS 利用签名查找恶意软件。 在开放源代码规则数据库中可以得到这些签名，但新的僵尸程序 (bot) 更加智能，致使这种检测毫无用处。

了解恶意软件的基础知识有助于企业了解攻击者是如何将主机作为僵尸网络(botnet) 的。普通客户可以利用这种反攻击知识，与僵尸程序 (bot) 展开抗衡。