資源描述:
《發(fā)現(xiàn)和跟蹤僵尸網(wǎng)絡(luò)》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1�、發(fā)現(xiàn)和跟蹤僵尸網(wǎng)絡(luò)諸葛建偉狩獵女神項(xiàng)目組TheArtemisProject北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所內(nèi)容狩獵女神項(xiàng)目組僵尸網(wǎng)絡(luò)概述發(fā)現(xiàn)僵尸網(wǎng)絡(luò)跟蹤僵尸網(wǎng)絡(luò)總結(jié)與進(jìn)一步工作2狩獵女神項(xiàng)目組TheArtemisProject項(xiàng)目組簡(jiǎn)介蜜罐和蜜網(wǎng)技術(shù)研究組北京大學(xué)計(jì)算機(jī)研究所信息安全工程研究中心HoneynetResearchAlliance中國(guó)唯一團(tuán)隊(duì)-ChineseHoneynetProject項(xiàng)目組網(wǎng)站:www.honeynet.org.cn項(xiàng)目組郵件列表:artemis@icst.pku.edu.cnHoneynetCN郵件組:grou
2、ps.yahoo.com/group/honeynetcn<<電腦安全專(zhuān)家>>2005年7月份非常話(huà)題專(zhuān)欄4項(xiàng)目組目前研究工作蜜網(wǎng)維護(hù)及攻擊案例分析結(jié)合第三代蜜網(wǎng)技術(shù)和honeyd虛擬蜜罐工具“利用蜜網(wǎng)技術(shù)深入剖析互聯(lián)網(wǎng)安全威脅”-2005年全國(guó)計(jì)算機(jī)大會(huì)惡意軟件的捕獲與分析重點(diǎn)針對(duì)僵尸網(wǎng)絡(luò)蜜網(wǎng)數(shù)據(jù)分析與可視化研究網(wǎng)絡(luò)環(huán)境信息獲取工具NetEye攻擊數(shù)據(jù)統(tǒng)計(jì)分析與可視化工具基于多源數(shù)據(jù)融合框架的攻擊態(tài)勢(shì)評(píng)估技術(shù)研究5僵尸網(wǎng)絡(luò)概述僵尸網(wǎng)絡(luò)起源Eggdropbot:1993良性Bot工具:Spiders,…惡意Bot工具DDoS攻擊工具:199
3�、9年11月Subseven2.1IRCBot:GTBot、SdBot結(jié)合蠕蟲(chóng)傳播機(jī)制:Agobot/Gaobot,rBot/SpybotP2PBot:Phatbot7僵尸網(wǎng)絡(luò)危害分布式拒絕服務(wù)攻擊2004年6月份-Akamai關(guān)鍵域名服務(wù)器被僵尸網(wǎng)絡(luò)DDoS在線(xiàn)訛詐發(fā)送垃圾郵件抓取電子郵件地址���、打開(kāi)OpenRelay服務(wù)���、發(fā)送垃圾郵件從僵尸主機(jī)上收集敏感信息在線(xiàn)銀行賬號(hào)/密碼,信用卡信息�����,注冊(cè)碼��,在線(xiàn)游戲賬號(hào)/裝備8僵尸網(wǎng)絡(luò)的基本網(wǎng)絡(luò)結(jié)構(gòu)9僵尸程序的定義特性一對(duì)多控制關(guān)系僵尸程序與其他惡意軟件的區(qū)別傳播性可控性竊密性危害等級(jí)僵尸程序可控傳播
4���、(1對(duì)多)可控有完全控制����,高后門(mén)不具備(1對(duì)1)可控有完全控制����,高蠕蟲(chóng)主動(dòng)傳播一般沒(méi)有沒(méi)有網(wǎng)絡(luò)流量,高Spyware被動(dòng)傳播一般沒(méi)有有信息泄漏�,中病毒用戶(hù)干預(yù)一般沒(méi)有沒(méi)有感染文件,中10IRC僵尸程序的基本活動(dòng)步驟11發(fā)現(xiàn)僵尸網(wǎng)絡(luò)如何發(fā)現(xiàn)僵尸網(wǎng)絡(luò)��?IDS方法必須充分了解僵尸程序�,提取指紋信息作為IDS檢測(cè)的特征行為監(jiān)測(cè)法僵尸程序行為模式:快速連接控制信道、長(zhǎng)時(shí)間在線(xiàn)發(fā)呆�����、…蜜罐捕獲法通過(guò)部署蜜罐對(duì)僵尸程序進(jìn)行捕獲-樣本通過(guò)對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)視和分析-僵尸網(wǎng)絡(luò)控制信道信息13僵尸程序的傳播方式主動(dòng)攻擊漏洞攻擊漏洞����,通過(guò)shellcode注入僵尸
5、程序與蠕蟲(chóng)主動(dòng)傳播方式結(jié)合:Agobot,rBot郵件病毒即時(shí)通訊軟件:MSN性感雞惡意網(wǎng)站腳本特洛伊木馬14惡意軟件捕獲器mwcollect針對(duì)主動(dòng)攻擊漏洞傳播的惡意軟件(包括僵尸程序)模擬RPCDCOM��、LSASS等知名漏洞對(duì)主動(dòng)攻擊漏洞惡意軟件注入的shellcode進(jìn)行分析���,獲取惡意軟件傳播使用的URL通過(guò)URL獲取惡意軟件樣本15其他的僵尸程序來(lái)源InternationalmwcollectAlliance共享捕獲的惡意軟件樣本資源與反病毒廠(chǎng)商的樣本交換PandaSoftware公開(kāi)的惡意軟件分析報(bào)告資源Sandbox.norma
6���、n.no16僵尸程序樣本分析任務(wù)-獲取僵尸網(wǎng)絡(luò)控制信道信息控制服務(wù)器host/port連接口令加入的頻道名/頻道口令用戶(hù)名和昵稱(chēng)的結(jié)構(gòu)–CHN
7����、xxxxx?方法沙箱:sandbox.norman.no蜜網(wǎng)在線(xiàn)攻擊分析技術(shù)逆向工程技術(shù)17跟蹤僵尸網(wǎng)絡(luò)HoneyBot僵尸網(wǎng)絡(luò)跟蹤工具HoneyClient-客戶(hù)端蜜罐技術(shù)能夠根據(jù)給定的控制信道信息連入僵尸網(wǎng)絡(luò)�,并隱蔽地對(duì)僵尸網(wǎng)絡(luò)活動(dòng)進(jìn)行跟蹤和審計(jì)的蜜罐僵尸工具同時(shí)跟蹤多個(gè)僵尸網(wǎng)絡(luò)Honeybot原型系統(tǒng):python+ircclientlib19僵尸網(wǎng)絡(luò)控制服務(wù)器分布20僵尸網(wǎng)絡(luò)規(guī)模分布21一個(gè)
8、典型的僵尸網(wǎng)絡(luò)規(guī)模增長(zhǎng)情況22使用mIRC跟蹤僵尸網(wǎng)絡(luò)23跟蹤到的僵尸網(wǎng)絡(luò)掃描活動(dòng)24跟蹤僵尸網(wǎng)絡(luò)的一些經(jīng)驗(yàn)相當(dāng)大比例的僵尸網(wǎng)絡(luò)生命周期較短首先使用自動(dòng)化跟蹤工具確定其存活情況�、規(guī)模等信息,再進(jìn)行選擇跟蹤偽裝性昵稱(chēng)和用戶(hù)名必須與其他僵尸程序一致DisableIRC協(xié)議的CTCP(ClienttoClientProtocol)功能使用SOCKS代理保證跟蹤源的隱蔽性如果被僵尸網(wǎng)絡(luò)控制者識(shí)破:DDoS25進(jìn)一步工作增大惡意軟件的捕獲范圍分布式部署重定向機(jī)制-將針對(duì)業(yè)務(wù)網(wǎng)絡(luò)的惡意軟件感染重定向到蜜罐網(wǎng)關(guān)ARP重定向機(jī)制接入交換機(jī)DNAT重定向機(jī)制
9����、-未分配IP、VDS更有效的分析僵尸程序蜜網(wǎng)在線(xiàn)數(shù)據(jù)分析技術(shù)更全面地跟蹤僵尸網(wǎng)絡(luò)HoneyBot工具的進(jìn)一步工作全網(wǎng)范圍內(nèi)監(jiān)控僵尸網(wǎng)絡(luò)根據(jù)HoneyBot獲得的僵尸程序指紋特征及
