僵尸网络

导读 这些年网络的发展的确给我们带来了很多便利，但是同样也给***们带来更多的可能。今天小聪就给大家分享一下让我们极其厌烦的几种网络安全威胁。 说到网络威胁可能很多人都会深恶痛绝，因为实在是备受困扰。小到个人的信息泄露，大到企业、国家的财务损失以及机密信息外漏。最近看到Webroot发布了一个年度恶意软件列表，向我们展示了2019年最臭名昭著的网络安全威胁!从***次数最多的勒索软件和加密挖矿，到破坏最大的网络钓鱼***，让我们的全球网络威胁正在变得更为先进且难以预测。 2019年网络安全威胁统计2019年网络安全威胁统计 这些年网络的发展的确给我们带来了很多便利，但是同样也给***们带来更多的可能。今天小聪就给大家分享一下让我们极其厌烦的几种网络安全威胁： 第一、勒索软件 勒索软件是在前几年针对性***的模式下开始慢慢成熟的。中小型企业由于在安全预算和技能方面的限制，仍然是勒索软件的主要目标。不管是针对员工的网络钓鱼***还是利用不安全的RDP进行强行勒索，勒索软件都像以往一样有效。包括： Emotet-Trickbot-Ryuk(“三合一威胁”)：就经济损失而言，这是2019年最成功的组合一。他们把重点更多地转移到了侦察行动上。感染目标网络后分配一个值，然后在横向移动和部署勒索软件后发送该金额的赎金。 Trickbot / Ryuk

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 尽管 IT 管理员尽心尽责地监控设备、主机和网络是否存在恶意活动的迹象，却往往出力不讨好。主机入侵检测和端点保护对很多公司来说可能是“必需”的安全措施，但如果要找出 RAT、rootkit、APT 或其他盘踞在网络上的恶意软件，就没什么比监控 DNS 流量更有效了。 ####为什么是 DNS ？ 犯罪分子会抓住任何互联网服务或协议的漏洞发动攻击，这当然也包括域名系统（ DNS ）。他们会注册一次性域名用于垃圾邮件活动和僵尸网络管理，还会盗用域名进行钓鱼和恶意软件下载。他们会注入恶意查询代码以利用域名服务器的漏洞或扰乱域名解析过程。他们会注入伪造的响应污染解析器缓存或强化 DDOS 攻击。他们甚至将 DNS 用作数据渗漏或恶意软件更新的隐蔽通道。 你可能没办法了解每一个新的 DNS 漏洞攻击，但是可以使用防火墙、网络入侵监测系统或域名解析器报告可疑的 DNS 行为迹象，作为主动防范的措施。 ####要找什么 预示网络中正出现可疑或恶意代码的 DNS 组合查询或流量特征。例如： 1.来自伪造源地址的 DNS 查询、或未授权使用且无出口过滤地址的 DNS 查询，若同时观察到异常大的 DNS 查询量或使用 TCP 而非 UDP 进行 DNS 查询，这可能表明网络内存在被感染的主机，受到了 DDoS 攻击。 2.异常

浅谈僵尸网络利器：Fast-flux技术 一、背景 在早期的僵尸网络中，控制者通常会把C&C服务器的域名或者IP地址硬编码到恶意程序中，僵尸主机通过这些信息定时访问C&C主机获取命令。但同时安全人员也能够通过逆向恶意程序，得到C&C服务器的域名或者IP，利用这些信息定位C&C主机，安全人员就可以隔断C&C主机从而破坏僵尸网络。不少控制者为了保护C&C主机，使用Fast-flux技术来提高C&C服务器的健壮性。 二、基本概念 在正常的DNS服务器中，用户对同一个域名做DNS查询，在较长的一段时间内，无论查询多少次返回的结果基本上是不会改变的。Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术，也就是说在短时间内查询使用Fast-flux技术部署的域名，会得到不同的结果。图2-1为Fast-flux技术工作方式。 图2-1 客户端访问Fast-flux网络流程 客户端两次访问 www.example.com 的过程如下： 1) 为了得到网站 www.example.com 的IP地址，客户端发起DNS查询。 2) 随后DNS服务器返回了一个IP地址1.2.3.4，同时TTL为一个很小的数值。 3) 客户端访问IP为1.2.3.4的服务器获取内容。 4) IP为1.2.3.4的服务器响应请求，返回相应内容。 5) 客户端再次访问 www.example.com

移动端：基于 Android 系统开发的应用，表层应用是基于 baiduMap 路线规划 app 服务端：基于 python web 开发框架 django 实现。 通信信道：基于第三方 SDK Jpush 推送消息 + 自己一套加密系统 推送原理： 1. 轮询方式（ pull ）：实现消息队列 轮询频率问题 2.SMS （ push ）：拦截消息 解析意图 成本高 3. 持久链接（ push ）：解决轮询性能问题 XMPP 协议： 基于 XML 核心部分：在网络上分片发布 XML 的流协议 Android 客户端要点： 1. 传递信息 （ 1 ）传递信息是指僵尸应用可以获取移动终端的基本信息，如 : 位置、服务商信息、号码以及个人基本信息等； （ 2 ）发送心跳包，服务端通过对发来的包的解析来判断在线主机以及状态。 2. 解析命令 Web 服务器通过会通过相关信道对部分僵尸客户端发送命令，客户端解析服务端发送的数据转化成相应的指令。 3. 执行命令 根据服务端发送的指令，指向相关的操作。 服务端： 1. 连接过程： 连接过程就是 Web 服务器和 Android 客户端之间所建立的一种连接，以保证服务端可以监控到僵尸手机是不是在线。 2. 命令推送过程： 当攻击者想执行某个操作时候，通过向 Android 手机推送命令的过程。 3. 应答过程： 应答过程就是当命令推送过程之后，

1、网络异常行为 ――流量突发 （1）大数据传输（P2P，迅雷）（2）配置问题（路由环路、交换环路）（3）病毒爆发 （4）操作系统或应用程序错误 （5）网络设备故障 （6）蠕虫传播 （7） 木马/僵尸网络 （8）DOS攻击 （9） 渗透攻击 2、蠕虫传播分析 蠕虫是通过网络主动复制自己传播的程序。 蠕虫传播途径 邮件糯虫――Loveletter 即时通漏洞――MSN/Worm.MM 操作系统或应用网络漏洞――CodeRed,Nimda 行为特点 ： 网络层：大量主机会话，大多是发包，每个会话流量很少。 会话层：会话连接很多，大多是SYN包，大部分没有响应或被拒绝。 总体流量不一定很大，但发包远大于收包数量。 蠕虫传播 ： 3、木马和僵尸网络分析方法 木马 =》道高一尺，魔高一丈 特征 ：可疑域名被频繁解析 僵尸网络 特征 ：利用大量域名《= 有算法计算特征,规避特征库 域名选择：动态域名、成本低、三不管顶级域名 常见的域名：*.cc *.ws *.info *.do 4、Dos攻击检测分析方法 分布式拒绝服务攻击是当前黑客采取的一个重要手段,一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。常见方式 （1）简单的单机洪水攻击方式。 （2）集中大量僵尸主机发动分布式攻击。(DDOS攻击) 常见攻击方法 ： （1）网络带宽资源耗尽型

2018年，是 IoT 高速发展的一年，从空调到电灯，从打印机到智能电视，从路由器到监控摄像头统统都开始上网。随着5G网络的发展，我们身边的 IoT 设备会越来越多。与此同时，IoT 的安全问题也慢慢显露出来。 腾讯安全云鼎实验室对 IoT 安全进行了长期关注，本文通过云鼎实验室听风威胁感知平台收集的 IoT 安全情报进行分析，从IoT 的发展现状、IoT 攻击的常见设备、IoT 攻击的主要地区和 IoT 恶意软件的传播方式等方面进行介绍。 一、IoT的发展现状 图片来自网络 近几年 IoT 设备数量飞速增长， 2018年一共有70亿台 IoT 设备，每年保持20%左右的速度增长，到2020年预计 IoT 设备可达99亿台。 图 全球 IoT 设备增长趋势 数据来源： State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating 随着 IoT 设备的普及，IoT 安全问题越来越多。根据卡巴斯基 IoT 安全报告 New trends in the world of IoT threats ，近年来捕获到的 IoT 恶意样本数量呈现爆炸式的增长，从侧面反映了 IoT 安全问题越来越严峻。 图 IoT 恶意样本数量 数据来源：卡巴斯基 New trends in the world of IoT

前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨，从最低3000美元上涨至7月份的14000美元，涨幅达300%，巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控，发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底)，以累积感染量定义木马活跃度，下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势，以期能够给企业安全防护带来启示。         家族名         简介         平台         攻击方式 ddgs 一个Go语言实现的挖矿僵尸网络，最早曝光于2017年10月。 Linux SSH、Redis爆破 MinerGuard 一个Go语言实现的挖矿僵尸网络，2019年4月开始爆发 Windows、Linux双平台 SSH、Redis、Sqlserver爆破、多种web服务漏洞(ElasticSearch、Weblogic、Spring、ThinkPHP等) kerberods 2019年4月开始爆发的挖矿僵尸网络 Linux SSH爆破、Redis爆破、Confluence RCE等Web服务漏洞 kworkerds rootkit挖矿蠕虫，最早曝光于2018年9月 Linux、Windows双平台 ssh

一、DDOS攻击的来源 任何攻击都不会凭空产生，DDOS也有特定的来源。绝大多数的DDOS攻击都来自于僵尸网络。僵尸网络就是由数量庞大的可联网僵尸主机组成，而僵尸主机可以是任何电子设备（不仅是X86架构的设备，更多反而是物联网中的ARM架构设备），只要被植入僵尸程序即可！ 僵尸网络有一个特点： 控制者和僵尸主机之间存在一对多的关系，在控制者发布命令后就可以断开与僵尸网络的连接，之后控制命令会在僵尸主机之间自行传播和执行。 　　 僵尸网络架构一般有以下两种： 　　　　1、client—to—server型： 　　　　　　client—to—server型僵尸网络是一种典型的星型拓扑，由若干僵尸主机和控制服务器两部分组成。 　　　　　　这种僵尸网络相对比较传统，僵尸主机在被植入僵尸程序后会主动连接一个固定的地址（即控制服务器），然后由控制服务器进行集中管理。 　　　　　　这类的僵尸网络控制相对较容易，而且能快速分发控制者的命令，但是这种控制方式也存在两个重要的不足： 　　　　　　　　①、控制服务器一旦故障则整张网络失效 　　　　　　　　②、从僵尸主机侧可以查出控制服务器的地址（容易被抓） 　　　 　P2P型： 相比client—to—server型P2P型就显得略微复杂一些。在P2P型僵尸网络中充当控制服务器的节点不再单一，而是每台僵尸主机既扮演控制服务器的角色又扮演客户端角色

一、DDOS攻击的来源 　　任何攻击都不会凭空产生，DDOS也有特定的来源。绝大多数的DDOS攻击都来自于僵尸网络。僵尸网络就是由数量庞大的可联网僵尸主机组成，而僵尸主机可以是任何电子设备（不仅是X86架构的设备，更多反而是物联网中的ARM架构设备），只要被植入僵尸程序即可！ 　　僵尸网络有一个特点：控制者和僵尸主机之间存在一对多的关系，在控制者发布命令后就可以断开与僵尸网络的连接，之后控制命令会在僵尸主机之间自行传播和执行。 　　僵尸网络架构一般有以下两种： 　　　　1、client—to—server型： 　　　　　　client—to—server型僵尸网络是一种典型的星型拓扑，由若干僵尸主机和控制服务器两部分组成。 　　　　　　这种僵尸网络相对比较传统，僵尸主机在被植入僵尸程序后会主动连接一个固定的地址（即控制服务器），然后由控制服务器进行集中管理。 　　　　　　这类的僵尸网络控制相对较容易，而且能快速分发控制者的命令，但是这种控制方式也存在两个重要的不足： 　　　　　　　　1、控制服务器一旦故障则整张网络失效 　　　　　　　　2、从僵尸主机侧可以查出控制服务器的地址（容易被抓） 　　　　2、P2P型： 　　　　　　相比client—to—server型P2P型就显得略微复杂一些。在P2P型僵尸网络中充当控制服务器的节点不再单一